Apple: Un nouveau malware cible Mac et les processeurs M1

0

3 mois après le lancement par Apple de son nouveau système sur puce M1, les cybercriminels ont développé ce qui pourrait être la première application macOS malveillante ciblant la première puce interne du géant du mobile.

L’application malveillante récemment découverte, appelée GoSearch22, s’exécute en mode natif sur M1, ce qui signifie qu’elle utilise un logiciel écrit pour le mode de fonctionnement naturel et de base des appareils alimentés par M1. Le principal différenciateur ici est que l’application inclut un code conçu pour fonctionner sur des processeurs M1 basés sur ARM – plutôt que uniquement sur les processeurs Intel x86 précédemment utilisés par Apple.

L’application télécharge une variante de Pirrit, qui est un type de logiciel publicitaire. Les logiciels publicitaires ciblant Mac, qui affichent des publicités embêtantes sur les ordinateurs des utilisateurs, constituent une menace courante pour les appareils Apple. Depuis, Apple a révoqué le certificat de l’application malveillante.

«Les nouveaux systèmes M1 d’Apple offrent une myriade d’avantages, et le code ARM64 compilé en natif s’exécute à une vitesse fulgurante», a déclaré Patrick Wardle, le chercheur spécialisé d’Apple qui a découvert l’application. «Aujourd’hui, nous avons souligné le fait que les auteurs de logiciels malveillants ont désormais rejoint les rangs des développeurs… (re)compilant leur code en ARM64 pour obtenir une compatibilité binaire native avec le dernier matériel d’Apple.»

Qu’est ce que le système sur puce M1 d’Apple?

Lancé en novembre, le M1 d’Apple est le premier silicium ARM conçu par Apple, qui est désormais l’unité centrale de traitement de ses appareils Mac.

Depuis 2006, les appareils Apple fonctionnaient sur des processeurs Intel. Mais l’année dernière, Apple a lancé ses propres processeurs en silicium ARM pour sa gamme Mac dans le but d’améliorer l’intégration, la vitesse et l’efficacité de la technologie.

Plus précisément, M1 prend en charge une architecture de jeu d’instructions ARM64.

M1 est déployé sur les dernières générations d’appareils MacBook Air, Mac mini et MacBook Pro d’Apple. Cependant, de nombreuses applications fonctionnent toujours sur les anciennes instructions du processeur x86_64 d’Intel, utilisées par les générations précédentes d’appareils Apple.

Que signifie « code natife M1 »?

Pour aider les développeurs d’applications dont les applications sont ciblées pour l’ancien ensemble d’instructions Intel, Apple a publié Rosetta, un processus qui traduit les instructions x86_64 d’Intel en instructions ARM64 natives – afin que les applications plus anciennes puissent s’exécuter de manière transparente sur les systèmes M1.

apple mac m1

Selon Apple, si un exécutable ne contient que des instructions Intel, macOS lance automatiquement Rosetta et commence le processus de traduction. Le système lance ensuite l’exécutable traduit à la place de l’original.

Cependant, le code non-ARM64 ne peut pas être exécuter par les systèmes M1 nativement et doit d’abord être traduit – ce qui peut entraîner des temps de chargement plus lents. Cela signifie que les développeurs qui souhaitent que leurs applications s’exécutent rapidement et nativement sur M1, plutôt que de passer par le processus Rosetta, doivent recompiler leurs applications. Et les auteurs de malwares aussi.

«En se basant sur le fait que les applications natives (ARM64) s’exécutent plus rapidement (car elles évitent le besoin de traduction à l’exécution), et que Rosetta (bien qu’étonnant), a quelques bogues (qui peuvent empêcher certaines applications plus anciennes de fonctionner), il est conseillé aux développeurs de (re)compiler leurs applications pour M1 », a déclaré Wardle.

Pour qu’un binaire s’exécute nativement sur ces systèmes M1, il doit être compilé en tant que binaire universel Mach-O. Mach-O, qui est le format exécutable natif des binaires pour les systèmes d’exploitation Mac, est également appelé «gros binaire», ce qui signifie qu’il contient du code universel natif de plusieurs jeux d’instructions. Cela signifie qu’il peut être exécuté sur plusieurs types de processeurs – donc un binaire Mach-0 prend en charge à la fois les jeux d’instructions ARM64 et x86_64 (plutôt que uniquement x86_64).

L’application GoSearch22

Wardle a trouvé un de ces binaires en faisant une recherche sur VirusTotal (en utilisant la requête de recherche type:macho tag:arm tag:64bits tag:multi-arch tag:signed positives:2+). En parcourant les résultats de VirusTotal, Wardle a trouvé GoSearch22, un ensemble complet d’applications macOS qui peut s’exécuter en mode natif sur les systèmes M1. GoSearch22 a été signé avec un identifiant de développeur Apple (hongsheng yan) en Novembre.

« Cela confirme que les auteurs de logiciels malveillants/publicitaires travaillent effectivement pour garantir que leurs créations malveillantes sont nativement compatibles avec le dernier matériel d’Apple », a déclaré Wardle.

Après une inspection plus approfondie, Wardle a constaté que GoSearch22 exécute Pirrit, qui une fois lancé, s’installe comme une extension Safari malveillante. Il crée un serveur proxy sur les ordinateurs Mac infectés et injecte des publicités dans les pages Web.

Pirrit remonte à 2016, mais a continué d’évoluer au fil des ans. En 2016, les chercheurs ont également lié une variante du logiciel publicitaire Pirrit pour Mac OS X à une société de marketing en ligne israélienne appelée TargetingEdge, qui est toujours en mode furtif.

«Ce que nous savons, c’est que ce binaire a été détecté dans la nature… donc, qu’il ait été authentifié ou non, les utilisateurs de macOS ont été infectés», a déclaré Wardle.

Les futurs binaires M1

Après avoir partagé les deux binaires (ARM64 et x86_64) séparément sur VirusTotal et lancé des analyses des deux, Wardle a constaté que les détections de la version ARM64 avaient chuté de 15% par rapport à la version autonome x86_64. Cela signifie que plusieurs moteurs antivirus n’ont pas réussi à détecter ce binaire.

Le fait que les détecteurs de sécurité aient du mal à suivre le rythme pourrait présenter des problèmes de sécurité à l’avenir, car de plus en plus de cybercriminels concentrent leur attention sur les binaires ARM64 pour cibler M1.

«Alors que les codes x86_64 et ARM64 semblent logiquement identiques (comme prévu), nous avons montré que les outils de sécurité défensifs peuvent avoir du mal à détecter le binaire ARM64», a déclaré le chercheur.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire