Malware Sekarang Menargetkan Prosesor M1 Baru Apple


Malware Mac memiliki selalu kurang umum dibandingkan rekan-rekan yang menargetkan Windows, tetapi dalam beberapa tahun terakhir ancaman terhadap komputer Apple telah menjadi arus utama. Ada adware dan bahkan ransomware yang disesuaikan untuk Mac, dan penyerang selalu mencari cara untuk menghindari pertahanan terbaru Apple. Sekarang peretas telah meluncurkan malware yang disesuaikan untuk berjalan pada prosesor M1 berbasis ARM baru Apple, dirilis untuk MacBook Pro, MacBook Air, dan Mac Mini pada bulan November.

Chip M1 Apple adalah penyimpangan dari arsitektur Intel x86 yang telah digunakan Apple sejak 2005, dan ini memberi Apple kesempatan untuk memasukkan perlindungan dan fitur keamanan Mac tertentu langsung ke dalam prosesornya. Transisi tersebut mengharuskan pengembang yang sah untuk bekerja membangun versi perangkat lunak mereka yang berjalan “asli” di M1 untuk kinerja yang optimal daripada perlu diterjemahkan melalui emulator Apple bernama Rosetta 2. Tidak mau kalah, pembuat malware telah mulai melakukan transisi terlalu.

Peneliti keamanan Mac lama Patrick Wardle menerbitkan temuan pada hari Rabu tentang ekstensi adware Safari yang awalnya ditulis untuk dijalankan pada chip Intel x86, tetapi sekarang telah dikembangkan kembali secara khusus untuk M1. Ekstensi berbahaya, GoSearch22, adalah anggota dari keluarga adware Pirrit Mac yang terkenal kejam.

“Ini menunjukkan bahwa pembuat malware berkembang dan beradaptasi untuk mengikuti perangkat keras dan perangkat lunak terbaru Apple,” kata Wardle, yang juga mengembangkan alat keamanan Mac sumber terbuka. “Sejauh yang saya tahu, ini pertama kalinya kami melihat ini.”

Peneliti dari firma keamanan Red Canary memberi tahu WIRED bahwa mereka juga menyelidiki contoh malware M1 asli yang tampak berbeda dari temuan Wardle.

Mengingat bahwa chip ARM Apple adalah masa depan prosesor Mac, tidak dapat dihindari bahwa pembuat malware pada akhirnya akan mulai menulis kode hanya untuk mereka. Seseorang mengunggah adware yang disesuaikan ke platform pengujian antivirus VirusTotal pada akhir Desember, sebulan lebih sedikit setelah laptop M1 dikirimkan. Banyak peneliti dan organisasi secara rutin mengunggah sampel perangkat lunak jahat ke VirusTotal secara otomatis atau tentu saja. Sampel adware yang ditemukan Wardle di sana menggunakan taktik standar untuk menyamar sebagai ekstensi peramban Safari yang sah dan kemudian mengumpulkan data pengguna dan menayangkan iklan terlarang seperti spanduk dan munculan, termasuk yang tertaut ke situs jahat lainnya.

Apple menolak berkomentar tentang temuan itu. Wardle mengatakan adware itu ditandatangani dengan ID pengembang Apple, akun berbayar yang memungkinkan Apple melacak semua pengembang Mac dan iOS, pada 23 November. Perusahaan itu telah mencabut sertifikat GoSearch22.

Peneliti keamanan Malwarebytes Mac Thomas Reed setuju dengan penilaian Wardle bahwa adware itu sendiri tidak terlalu baru. Namun dia menambahkan bahwa penting bagi peneliti keamanan untuk menyadari bahwa malware M1 asli tidak hanya datang, tetapi sudah ada di sini.

“Ini pasti tidak bisa dihindari — menyusun untuk M1 bisa semudah menekan tombol di pengaturan proyek,” kata Reed. “Dan sejujurnya, saya sama sekali tidak terkejut dengan fakta bahwa itu terjadi di Pirrit dulu. Itu salah satu kelompok adware Mac yang paling aktif, dan salah satu yang tertua, dan mereka terus berubah untuk menghindari deteksi. ”

Ekstensi Safari yang berbahaya memang memiliki beberapa fitur anti-analisis, termasuk logika untuk mencoba menghindari alat debugging. Tetapi Wardle menemukan bahwa meskipun rangkaian pemindai antivirus VirusTotal dengan mudah melihat versi berbasis x86 dari adware sebagai berbahaya, ada penurunan 15 persen dalam deteksi versi M1.

“Alat pertahanan tertentu seperti mesin antivirus kesulitan memproses format file biner ‘baru’ ini,” kata Wardle. “Mereka dapat dengan mudah mendeteksi versi Intel-x86, tetapi gagal mendeteksi versi ARM-M1, meskipun kodenya identik secara logis.”

Diposting oleh : SGP Prize