GoSearch22 : le premier malware optimisé pour les Mac M1
- 👨 Medhi Naitmazi
- Il y a 4 ans (Màj il y a 4 ans)
- 💬 1 com
Un premier malware conçu pour l’architecture Apple Silicon
La découverte a été faite par le chercheur en sécurité et fondateur d'Objective-See, Patrick Wardle. Dans une déconstruction très détaillée, Patrick a expliqué comment il avait procédé pour trouver le nouveau malware spécifique à Apple Silicon et pourquoi cela était important.
Alors que je travaillais au portage de mes outils pour atteindre la compatibilité M1 native, j'ai réfléchi à la possibilité que les auteurs de logiciels malveillants passent également leur temps de la même manière. En fin de compte, les logiciels malveillants sont simplement des logiciels (bien que malveillants), alors j'ai pensé qu'il serait logique que nous voyions (éventuellement) des logiciels malveillants conçus pour s'exécuter de manière native sur les nouveaux systèmes M1 d'Apple.
Avant de partir à la recherche d'un malware M1 natif, nous devons répondre à la question «Comment pouvons-nous déterminer si un programme a été compilé nativement pour M1?» Bref, il contiendra du code arm64! OK, et comment pouvons-nous vérifier cela ?
Un moyen simple consiste à utiliser l'outil de fichiers intégré de macOS (ou lipo -archs). En utilisant cet outil, nous pouvons examiner un binaire pour voir s'il contient du code arm64 compilé.
Patrick a fini par utiliser la version gratuite de VirusTotal pour commencer sa chasse. Une partie importante de la recherche de malware optimisé pour Apple Silicon était d'éliminer les applications universelles qui sont en fait des binaires iOS.
Après avoir précisé les choses, Patrick a trouvé «GoSearch22».
Après avoir passé quelques vérifications supplémentaires, Patrick a pu confirmer qu'il s'agissait d'un malware optimisé pour les Mac M1.
Hourra, nous avons donc réussi à trouver un programme macOS contenant du code M1 (arm64) natif… qui est détecté comme malveillant ! Cela confirme que les auteurs de logiciels malveillants / publicitaires travaillent effectivement pour garantir que leurs créations malveillantes sont nativement compatibles avec le dernier matériel d'Apple. 🥲
Il est également important de noter que GoSearch22 a bien été signé avec un identifiant de développeur Apple (hongsheng yan), le 23 novembre 2020.
Patrick note qu'Apple a révoqué le certificat à ce stade, donc on ne sait pas si Apple avait notarié le code. Mais tout de même…
Ce que nous savons, c'est que ce binaire a été détecté dans la nature (et soumis par un utilisateur via un outil Objective-See)… donc qu'il soit notarié ou non, les utilisateurs de macOS ont été infectés.
En creusant davantage, Patrick a pu apprendre que le malware optimisé pour Apple Silicon, GoSearch22, est une variante du "logiciel publicitaire" Pirrit, répandu, mais plutôt insidieux. Et plus précisément, cette nouvelle instance semble avoir pour objectif de «conserver un agent de lancement» et de «s'installer comme une extension Safari malveillante».
Plus particulièrement, GoSearch22 optimisé pour Apple Silicon est apparu pour la première fois le 27 décembre, quelques semaines seulement après la mise à disposition des premiers Mac M1. Et Patrick note qu’un utilisateur l’a envoyé à VirusTotal avec l’un des outils d’Objective-See.
Un premier virus important sur les M1
En conclusion, Patrick partage quelques réflexions sur les raisons pour lesquelles les logiciels malveillants optimisés Apple Silicon sont importants. Premièrement, il s'agit de la preuve concrète de la rapidité avec laquelle le code malveillant évolue en réponse aux nouveaux matériels et logiciels d'Apple.
Mais surtout, cela prouve les outils actuels ne sont peut-être pas à la hauteur de la tâche de se défendre contre les malwares axés sur macOS arm64 car ce même virus aurait été trouvé sur les Mac Intel.
PS : l’Antivirus X9, le seul qui est conçu uniquement pour MacOS, détecte déjà ce genre de menaces.