Em novembro do ano passado, a Apple lançou uma série de computadores Mac com os novos e tão esperados chips Apple Silicon M1. O lançamento do novo hardware também chamou a atenção de cibercriminosos, que desenvolveram um malware que pode ser executado especificamente em dispositivos equipados com os novos chips da Apple.
Os novos processadores M1 da Apple usam arquitetura baseada em ARM, uma mudança em relação à geração anterior de processadores Intel x86 com os quais os dispositivos Mac eram equipados anteriormente. Isso exigiu que os aplicativos desenvolvidos para dispositivos Mac fossem traduzidos por meio do mecanismo Rosetta 2 da Apple ou codificados novamente para funcionar nos novos chips.
Enquanto isso, os cibercriminosos estão desenvolvendo malwares direcionados aos novos chips. O pesquisador de segurança de dispositivos Mac, Patrick Wardle, revelou detalhes sobre códigos maliciosos que visam especificamente computadores que funcionam com o Apple Silicon. O pesquisador vasculhando o VirusTotal e, usando modificadores de buscas específicas, foi capaz de identificar um programa para macOS que estava escrito em código M1 e acabou sendo identificado como malicioso. O aplicativo, chamado de GoSearch22, foi considerado uma variante da família de adware Pirrit, uma ameaça normalmente voltada para usuários de dispositivos Mac.
Veja também: App de trading de criptomoedas para Mac é usado para distribuir malware
Aplicativos como o GoSearch22 exibem cupons, banners e anúncios pop-up indesejados que promovem páginas da web suspeitas. No entanto, também foi possível observar que esse tipo de aplicativo coleta dados de navegação ou outras informações confidenciais.
Aparentemente, a nova versão se instala como uma extensão maliciosa do Safari e persiste como um launch agent. É importante notar que a variante desse malware foi enviada ao VirusTotal no fim de dezembro de 2020, apenas um mês após o lançamento dos novos computadores Mac.
“Bastante impressionante, se analisarmos os detalhes do envio ao VirusTotal, descobrimos que essa amostra foi enviada (por um usuário) por meio de uma das ferramentas do Objective-See (provavelmente KnockKnock)... após a ferramenta definir o código como malicioso, devido ao seu mecanismo de persistência”, disse Wardle. Isso significa que o malware foi detectado “in the wild”, ou seja, em uso como parte de uma campanha e os usuários de dispositivos macOS podem ter sido infectados.
“Hoje confirmamos que os cibercriminosos estão de fato criando aplicativos com várias arquiteturas para que seu código seja executado nativamente em sistemas M1. O aplicativo malicioso GoSearch22 pode ser o primeiro exemplo de código compatível com o M1”, destacou.