En novembre, Apple a lancé une série d'ordinateurs Mac équipés de ses nouvelles puces Apple Silicon M1, qui ont été très bien accueillies. La sortie de ce nouveau matériel a également attiré l'attention de cybercriminels entreprenants, qui ont également préparé un lancement de leur côté - un logiciel malveillant pouvant s'exécuter spécifiquement sur les appareils équipés des nouveaux chipsets Apple.
Les nouveaux processeurs M1 d'Apple utilisent une architecture basée sur l'ARM, ce qui constitue une rupture avec la génération précédente de processeurs Intel x86 dont étaient équipés ses ordinateurs. Les applications développées pour les Mac ont donc dû être soit traduites par le moteur Rosetta 2 d'Apple, soit codées à nouveau pour fonctionner en natif sur les nouvelles puces.
Dans l'intervalle, les acteurs de la menace ont été occupés à leur manière. Patrick Wardle, chercheur en sécurité Mac, a révélé des détails sur les codes malveillants qui ciblent spécifiquement les ordinateurs fonctionnant sur le Silicium d'Apple. En passant au peigne fin VirusTotal et en utilisant des modificateurs de recherche spécifiques, Wardle a pu identifier un programme macOS écrit en code natif M1 et identifié comme malveillant. L'application, baptisée GoSearch22, s'est révélée être une variante de la famille des logiciels publicitaires Pirrit, une menace courante visant les utilisateurs de Mac.
LECTURE LIÉE : Une app d’échanges de cryptomonnaie sous Mac rebaptisée, avec logiciels malveillants en prime
Des applications telles que GoSearch22 affichent des coupons, des bannières et des pop-up publicitaires indésirables qui font la promotion de pages web douteuses. On a cependant observé qu'elles collectent des données de navigation ou d'autres informations potentiellement sensibles.
La nouvelle version semble s'installer comme une extension malveillante de Safari et persister comme agent de lancement. Il est à noter que la souche de logiciel malveillant a été soumise à VirusTotal fin décembre 2020, un mois seulement après le lancement des nouveaux ordinateurs Mac.
« Plutôt impressionnant, si nous analysons les détails de la soumission à VirusTotal, il s'avère que cet échantillon a été soumis (par un utilisateur) directement par l'intermédiaire d'un des outils d'Objective-See (probablement KnockKnock) ... après que l'outil ait signalé le code malveillant, en raison de son mécanisme de persistance », explique Wardle. Cela signifie que le logiciel malveillant a été détecté dans la nature et que les utilisateurs de macOS pourraient avoir été infectés.
Il ajoute : « Nous avons confirmé aujourd'hui que les adversaires malveillants élaborent effectivement des applications à architecture multiple de sorte que leur code s'exécute en natif sur les systèmes M1. L'application malveillante GoSearch22 pourrait être le premier exemple d'un tel code nativement compatible avec M1 »