Mã độc đầu tiên thiết kế cho chip Apple M1 được phát hiện - Thủ Thuật

Một trong những mẫu Malware đầu tiên được thiết kế để chạy trên chip M1 của Apple đã được phát hiện. Điều này cho thấy khả năng thích ứng của tội phạm mạng trước những công nghệ mới là cực kỳ cao. Theo mình đoán, thì vẫn còn rất nhiều tin tặc đang phát triển các loại Malware nhằm tấn công con chip tiềm năng M1 mới.

Malware đầu tiên trên M1 được phát hiện

Trong khi quá trình chuyển đổi sang Apple silicon đã buộc các nhà phát triển phải xây dựng lại các phiên bản ứng dụng mới của họ để đảm bảo hiệu năng và khả năng tương thích tốt hơn, các tác giả của Malware cũng hiện đang thực hiện các bước tương tự để xây dựng các phần mềm độc hại có khả năng thực thi trên hệ thống M1 mới của Apple Patrick Wardle.

Wardle đã trình bày chi tiết về một tiện ích mở rộng (Extension) phần mềm quảng cáo Safari có tên GoSearch22 ban đầu được viết để chạy trên chip Intel x86 nhưng sau đó đã được chuyển sang chạy trên chip M1 dựa trên ARM. Các tiện ích mở rộng giả mạo, là một biến thể của phần mềm quảng cáo độc hại Pirrit, được phát hiện lần đầu tiên vào ngày 23 tháng 11 năm 2020, theo báo cáo được tải lên VirusTotal vào ngày 27 tháng 12.

Wardle cho biết: “Hôm nay chúng tôi đã xác nhận rằng những tin tặc đang thực sự tạo ra các ứng dụng đa kiến ​​trúc, để code của chúng có thể chạy trên các hệ thống M1”. “Ứng dụng độc hại GoSearch22 có thể là ví dụ đầu tiên về code tương thích M1.”

Mặc dù máy Mac M1 có thể chạy phần mềm x86 với sự trợ giúp của trình dịch nhị phân động có tên là Rosetta, nhưng lợi ích của phần mềm native không chỉ là cải thiện hiệu năng mà còn tăng khả năng không bị phát hiện nữa.

Được ghi nhận lần đầu vào năm 2016, Pirrit là một họ phần mềm quảng cáo Mac nổi tiếng với độ nhây bằng việc liên tục hiển thị các quảng cáo xâm nhập và lừa đảo cho người dùng mà khi được nhấp vào, họ sẽ tải xuống và cài đặt các ứng dụng không mong muốn đi kèm với các tính năng thu thập thông tin khác.

Về phần mình, phần mềm quảng cáo GoSearch22 tự ngụy trang khá tinh vi thành một tiện ích mở rộng hợp pháp trên trình duyệt Safari trong khi trên thực tế, nó thu thập dữ liệu duyệt web và phân phát một số lượng lớn quảng cáo như banner và popups, bao gồm một số liên kết đến các trang web đáng ngờ để phân phối thêm phần mềm độc hại.

Wardle cho biết tiện ích mở rộng đã được ký với ID nhà phát triển Apple “hongsheng_yan” vào tháng 11 để che giấu thêm nội dung độc hại của nó, nhưng kể từ đó nó đã bị thu hồi, có nghĩa là ứng dụng sẽ không còn chạy trên macOS trừ khi những kẻ tấn công ký lại tiện ích bằng một chứng chỉ khác.

Mặc dù qua sự việc này, các phần mềm độc hại khác cũng được để ý và nhắc nhở chúng ta nên cẩn thân hơn kể cả đó là một hệ thống mới. Wardle cũng cảnh báo rằng “các công cụ phân tích (tĩnh) hoặc công cụ chống vi-rút có thể gặp khó khăn với mã nhị phân arm64”, bằng chứng là khả năng phát hiện Malware từ phần mềm bảo mật hàng đầu trong ngành giảm 15% khi so sánh sang phiên bản Intel x86_64.

Khả năng phần mềm độc hại của GoSearch22 có thể không hoàn toàn mới hoặc nguy hiểm, nhưng đây mới là vấn đề quan trọng. Nếu có sự xuất hiện của phần mềm độc hại tương thích với M1, báo hiệu đây mới chỉ là bước khởi đầu và sẽ có nhiều biến thể khác có thể sẽ xuất hiện trong tương lai.