Se descubrió una de las primeras muestras de malware adaptadas para ejecutarse de forma nativa en los chips M1 de Apple, lo que sugiere un nuevo desarrollo que indica que los malos actores han comenzado a adaptar el software malicioso para apuntar a la última generación de Mac de la compañía con sus propios procesadores.

Si bien la transición al silicio de Apple ha requerido que los desarrolladores creen nuevas versiones de sus aplicaciones para garantizar un mejor rendimiento y compatibilidad, los autores de malware ahora están tomando medidas similares para crear malware que sea capaz de ejecutarse de forma nativa en los nuevos sistemas M1 de Apple, según el investigador de seguridad de macOS. Patricio Wardle.

Wardle detalló una extensión de adware para Safari llamada GoSearch22 que originalmente se escribió para ejecutarse en chips Intel x86, pero que desde entonces se ha adaptado para ejecutarse en chips M1 basados ​​en ARM. La extensión no autorizada, que es una variante del malware publicitario Pirrit, se vio por primera vez el 23 de noviembre de 2020, según una muestra cargada en VirusTotal el 27 de diciembre.

«Hoy confirmamos que los adversarios maliciosos están creando aplicaciones de múltiples arquitecturas, de modo que su código se ejecutará de forma nativa en los sistemas M1», dijo Wardle en un artículo publicado ayer. «La aplicación maliciosa GoSearch22 puede ser el primer ejemplo de dicho código nativo compatible con M1».

Si bien las Mac M1 pueden ejecutar software x86 con la ayuda de un traductor binario dinámico llamado Rosetta, los beneficios del soporte nativo significan no solo mejoras en la eficiencia, sino también una mayor probabilidad de permanecer oculto sin atraer atención no deseada.

Pirrit, documentado por primera vez en 2016, es una familia persistente de adware para Mac conocida por enviar anuncios intrusivos y engañosos a los usuarios que, al hacer clic, descargan e instalan aplicaciones no deseadas que vienen con funciones de recopilación de información.

Por su parte, el adware GoSearch22, muy ofuscado, se disfraza como una extensión legítima del navegador Safari cuando, de hecho, recopila datos de navegación y muestra una gran cantidad de anuncios, como pancartas y ventanas emergentes, incluidos algunos que se vinculan a sitios web dudosos para distribuir malware adicional.

Wardle dijo que la extensión se firmó con una ID de desarrollador de Apple «hongsheng_yan» en noviembre para ocultar aún más su contenido malicioso, pero desde entonces ha sido revocada, lo que significa que la aplicación ya no se ejecutará en macOS a menos que los atacantes la vuelvan a firmar con otro certificado.

Aunque el desarrollo destaca cómo el malware continúa evolucionando en respuesta directa a ambos cambios de hardware, Wardle advirtió que «las herramientas de análisis (estáticas) o los motores antivirus pueden tener problemas con los binarios arm64», y las detecciones del software de seguridad líder en la industria disminuyeron en un 15 % en comparación. a la versión Intel x86_64.

Las capacidades de malware de GoSearch22 pueden no ser completamente nuevas o peligrosas, pero eso no viene al caso. En todo caso, la aparición de un nuevo malware compatible con M1 indica que esto es solo un comienzo, y es probable que surjan más variantes en el futuro.