Im November stellte Apple eine Reihe von Macs mit dem selbst entwickelten neuen Apple Silicon M1-Chips vor. Die Veröffentlichung der neuen Hardware erregte auch die Aufmerksamkeit einiger eifriger Cyberkrimineller. Sie sorgten für eine eigene Premiere, nämlich maßgeschneiderter Malware, für Geräte mit den neuen Apple-Chipsätzen.

Die neuen Geräte von Apple mit M1-Prozessoren verwenden eine ARM-basierte Architektur, im Gegensatz zur vorherigen Mac-Generation mit Intel x86-Prozessoren. Dies hat dazu geführt, dass für Macs entwickelte Anwendungen entweder über die Rosetta 2-Engine von Apple übersetzt oder neu codiert werden müssen, um nativ an den neuen Chips zu laufen.

In der Zwischenzeit waren Cyberkriminelle nicht untätig. Der Mac-Sicherheitsforscher Patrick Wardle hat Details zu einem Schadcode veröffentlicht, der speziell auf Computer mit Apple Silicon Prozessoren abzielt. Beim Durchkämmen von VirusTotal mit speziellen Suchfiltern konnte Wardle ein macOS-Programm identifizieren, das in nativem M1-Code geschrieben war und als bösartig eingestuft wurde. Die als GoSearch22 bezeichnete Anwendung ist eine Variante der Pirrit-Adware-Familie, einer verbreiteten, auf Mac-Nutzer abzielenden Bedrohung.

VERWANDTER ARTIKEL: Malware in Krypto‑Trading‑Software für MacOS

Anwendungen wie GoSearch22 zeigen unerwünschter Weise Gutscheine, Banner oder Popup-Anzeigen von fragwürdigen Webseiten. Es wurde jedoch auch beobachtet, dass sie Browserdaten oder andere potenziell sensible Informationen sammeln.

Die neue Version scheint sich selbst als böswillige Safari-Erweiterung zu installieren und als LaunchAgent Persistenz zu erlangen. Es ist bemerkenswert, dass der Malware-Stamm Ende Dezember 2020, nur einen Monat nach dem Start der neuen Mac-Computer, bei VirusTotal eingereicht wurde.

„Es hat sich bei der Analyse des VirusTotal-Samples herausgestellt, dass es (von einem Benutzer) direkt über eines der Tools von Objective-See (wahrscheinlich KnockKnock) übermittelt wurde… nachdem das Tool den Schadcode aufgrund seines Persistenzmechanismus markiert hat“, sagte Wardle. Dies bedeutet, dass die Malware in freier Wildbahn erkannt wurde und MacOS-Benutzer möglicherweise schon infiziert wurden.

„Heute haben wir bestätigt, dass böswillige Hacker tatsächlich Multi-Architektur-Malware erstellen, damit ihr Code nativ auf M1-Systemen ausgeführt wird. Die böswillige GoSearch22-Anwendung ist möglicherweise das erste Beispiel für einen solchen nativ M1-kompatiblen Code “, sagte er.