En noviembre, Apple presentó una serie de computadoras Mac con los nuevos y tan esperados chips Apple Silicon M1. El lanzamiento del nuevo hardware también llamó la atención de ingeniosos ciberdelincuentes, que desarrollaron un malware que puede ejecutarse específicamente en dispositivos equipados con los nuevos chipset de Apple.
Los nuevos procesadores M1 de Apple utilizan una arquitectura basada en ARM, un cambio con respecto a la generación previa de procesadores Intel x86 que eran con los que anteriormente venían sus computadoras. Esto ha requerido el desarrollo de aplicaciones para Mac para que sean o traducidas a través del motor Rosetta 2 de Apple o codificadas de nuevo para que funcionen de forma nativa en los nuevos chips.
Mientras tanto, los actores de amenazas han estado ocupados a su manera. El investigador de seguridad de Mac Patrick Wardle ha revelado detalles sobre códigos maliciosos que apuntan específicamente a computadoras que funcionan con Apple Silicon. Revisando en VirusTotal y utilizando modificadores de búsqueda específicos, Wardle logró identificar un programa para macOS que estaba escrito en código M1 nativo y fue identificado como malicioso. Resultó ser que la aplicación maliciosa, denominada GoSearch22, era una variante de la familia de adware Pirrit, una amenaza comúnmente detectada en usuarios de Mac.
Lectura relacionada: App de trading de criptomonedas para Mac es utilizada para distribuir malware
Aplicaciones maliciosas como GoSearch22 muestran cupones, banners y anuncios publicitarios que promueven páginas web cuestionables; sin embargo, también se ha observado que recopila datos de navegación u otra información potencialmente sensible.
Al parecer, la nueva versión se instala como una extensión maliciosa de Safari y persiste como un launch agent. Vale la pena señalar que la variante del malware fue subida a VirusTotal a fines de diciembre de 2020, apenas un mes después del lanzamiento de las nuevas computadoras Mac.
"Bastante asombroso, si analizamos los detalles del envío de VirusTotal, resulta que esta muestra fue enviada (por un usuario) directamente a través de una de las herramientas de Objective-See (probablemente KnockKnock) ... después de que la herramienta señalara el código como malicioso debido a su mecanismo de persistencia”, dijo Wardle. Esto significa que el malware se ha detectado “in the wild”, es decir, en uso como parte de una campaña, y los usuarios de macOS pueden haber sido infectados.
“Hoy confirmamos que, de hecho, los actores malintencionados están creando aplicaciones multiarquitectura para que su código se ejecute como nativo en los sistemas M1. La aplicación maliciosa GoSearch22 puede ser el primer ejemplo de código compatible de forma nativa con M1”, dijo.