Scoperto il primo malware nativo per i Mac M1: si nasconde in un'estensione di Safari

Scoperto il primo malware nativo per i Mac M1: si nasconde in un'estensione di Safari

Fa parte di una famiglia adware nota da tempo, si nasconde in un'estensione di Safari ma i certificati sono stati revocati da novembre. Il pericolo è minimo

di pubblicata il , alle 10:41 nel canale Apple
ApplemacOS
 

Il ricercatore di sicurezza Patrick Wardle, noto per la sua particolare attenzione verso l'ecosistema Apple, ha identificato una versione nativa per i sistemi Mac con chip M1 di un malware che fa parte della famiglia Pirrit, adware che da lungo tempo sono presenti sulle piattaforme macOS.

Wardle ha usato un account di ricerca su VirusTotal per cercare istanze di malware nativo per i set di istruzioni del SoC M1. Gli specifici parametri di ricerca impostati da Wardle hanno dato come risultato malware principalmente indirizzati alla piattaforma iOS, permettendo comunque al ricercatore di revisionare i risultati e individuare un'estensione per Safari chiamata GoSearch22. L'analisi del file info.plist all'interno del pacchetto dell'applicazione ha dato conferma che si trattasse di un'applicazione per macOS.

Il primo malware nativo M1 è un adware della famiglia Pirrit

Questa estensione è stata realizzata e firmata con l'ID sviluppatore hongsheng_yan nel corso del mese di novembre 2020, ma non è dato sapere se sia stata autenticata da Apple, poiché da allora ha revocato il certificato. La revoca del certificato ha l'effetto di rendere inutilizzabile l'attuale versione dell'estensione GoSearch22 su macOS, a meno che i suoi autori non riescano a firmarla con un'altra chiave sviluppatore attiva. Alla luce di ciò si può ragionevolmente supporre che le infezioni siano avvenute prima della revoca del certificato anche perché VirusTotal non avrebbe ricevuto alcuna segnalazione.

Il malware rilevato da Wardle ha attivato 24 diversi motori di analisi malware. Di questi, 17 hanno dato un risultato di positività "generica", mentre gli altri sette hanno individuato una corrispondenza con le firme della famiglia di adware Pirrit. Si tratta di una famiglia di malware di lunghissima data, che ha iniziato le sue attività sul sistema operativo Windows per poi trasferirsi in un secondo momento su macOS. Il primo riscontro sul sistema operativo della Mela si è avuta, ad opera del ricercatore Amit Serper, nel 2016.

La famiglia di malware Pirrit è particolarmente insidiosa: una volta che il sistema dell'utente viene infettato (di norma la compromissione avviene con l'installazione di un riproduttore multimediale, un visualizzatore di PDF o un'estensione di Safari, tutti apparentemente leciti) Pirrit si occupa di modificare il motore di ricerca predefinito dell'utente, monitorare l'attività del browser web e popolare le pagine web visitate con annunci pubblicitari indesiderati. E non finisce qui: Pirrit provvede poi a sfruttare tutti gli stratagemmi possibili per assicurarsi di passare inosservato e mantenere la persistenza sul sistema.

A valle di tutto è opportuno osservare come non sia particolarmente significativo l'incentivo per gli autori di malware a prendere di mira direttamente i sistemi con SoC M1 dal momento che la maggior parte del malware macOS attualmente esistente verrà comunque eseguito sui sistemi M1 tramite l'ambiente Rosetta 2. In questo modo il malware potrebbe operare con prestazioni limitate, ma è pur vero che gli autori di malware non hanno particolare interesse al lato prestazionale delle loro creazione. Vale tuttavia la pena considerare che un malware più efficiente e meno impattante sul sistema ha comunque la possibilità di essere meno notato dall'utente e di riuscire così a passare più tempo nell'ombra a portare avanti le sue malefatte.

53 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
BaronS18 Febbraio 2021, 11:20 #1
Mannaggia sti mac dove non esistono i virus...
makka18 Febbraio 2021, 12:13 #2
Sarà stato commissionato da Intel ??
Dopo la campagna pubblicitaria "contro" e passata alle vie di fatto ??
Gringo [ITF]18 Febbraio 2021, 13:20 #3
Ora attendiamo il primo virus che sfrutta la rete Neurale per nascondersi nell'OS intelligentemente..... Primo Virus Senziente grazie a M1 !!
dontbeevil24 Febbraio 2021, 10:11 #4
Originariamente inviato da: BaronS
Mannaggia sti mac dove non esistono i virus...


stranamente noto la mancanza di commenti da parte dei soliti
AlexSwitch24 Febbraio 2021, 10:14 #5
Originariamente inviato da: dontbeevil
stranamente noto la mancanza di commenti da parte dei soliti


Stranamente non si sentiva la tua mancanza...
aqua8424 Febbraio 2021, 10:20 #6
Originariamente inviato da: BaronS
Mannaggia sti mac dove non esistono i virus...

si... bè...
a parte che il 99,9% dei virus su Mac e Linux per farli funzionare devi essere in possesso del pc, conoscere la password, ma sono dettagli questi...
Nicodemo Timoteo Taddeo24 Febbraio 2021, 10:58 #7
Originariamente inviato da: aqua84
si... bè...
a parte che il 99,9% dei virus su Mac e Linux per farli funzionare devi essere in possesso del pc, conoscere la password, ma sono dettagli questi...


Perché, invece su Windows è diverso? Si installano con la telepatia?
oatmeal24 Febbraio 2021, 11:01 #8
Originariamente inviato da: BaronS
Mannaggia sti mac dove non esistono i virus...


Guarda che lo dice solo chi un Mac non lo ha mai avuto, come quelli che commentano qui

Originariamente inviato da: dontbeevil
stranamente noto la mancanza di commenti da parte dei soliti


Vero Emiliano? che tristezza che fai, cambi il nome ma il ragazzino quarantenne resta sempre lo stesso
dontbeevil24 Febbraio 2021, 11:38 #9
Originariamente inviato da: Nicodemo Timoteo Taddeo
Perché, invece su Windows è diverso? Si installano con la telepatia?


aqua8424 Febbraio 2021, 11:47 #10
Originariamente inviato da: Nicodemo Timoteo Taddeo
Perché, invece su Windows è diverso? Si installano con la telepatia?

a parte che non fa ridere
evidentemente non hai capito il senso del mio messaggio

intendevo dire che per "funzionare" il virus su Mac/Linux deve esserci "l'hacker, il ladro, chi caxxo volete, davanti al tuo pc e avere accesso fisico ad esso"
almeno nella quasi totalità dei casi

su Windows ti apri il pdf del corriere che ti porta il pacco che stai aspettando con ansia, oppure il link con le foto nude della tua amica figa, e nel frattempo tuoi file iniziano a criptarsi uno dopo l'altro...

certo certo, è la telepatia...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^