Malware Mac

Malware minacciano il nuovo processore M1 di Apple

Due distinti ceppi di malware si sono adattati al nuovo processore al silicio solo pochi mesi dopo il suo debutto
Malware minacciano il nuovo processore M1 di Apple FASTWEB S.p.A.

I malware per Mac sono sempre stati meno comuni, rispetto alle controparti per Windows, ma negli ultimi anni le minacce per i computer Apple si sono intensificate. Esistono adware e persino ransomware su misura per i Mac e gli aggressori cercano sempre di aggirare le ultime difese di Apple. Ora gli hacker hanno debuttato con alcuni malware creati per funzionare sui nuovi processori M1 di Apple basati su ARM, rilasciati per MacBook Pro, MacBook Air e Mac Mini a novembre.

Il chip M1 di Apple si distacca dall'architettura Intel x86 che Apple utilizza dal 2005 e offre ad Apple l'opportunità di integrare specifiche protezioni e funzionalità di sicurezza per Mac direttamente nei suoi processori. Questa transizione ha richiesto agli sviluppatori di lavorare sulla creazione di versioni del loro software che funzionano "in modo nativo" su M1 per prestazioni ottimali, piuttosto che dover essere tradotte tramite un emulatore Apple chiamato Rosetta 2. Per non essere da meno, anche gli autori di malware hanno iniziato questo tipo di transizione.

Il ricercatore per la sicurezza Mac Patrick Wardle ha pubblicato ieri i risultati su un'estensione adware per Safari che era stata originariamente scritta per funzionare su chip Intel x86, ma che ora è stata riprogettata appositamente per M1. L'estensione dannosa, GoSearch22, è un membro della famigerata famiglia di adware Pirrit Mac.

"Questo dimostra che gli autori di malware si stanno evolvendo e si stanno adattando per stare al passo con i più recenti hardware e software di Apple", afferma Wardle, che sviluppa anche strumenti di sicurezza per Mac open source. "Per quanto ne so, questa è la prima volta che lo vediamo."

I ricercatori dell'azienda di sicurezza Red Canary hanno riferito che stanno indagando anche su un altro esempio di malware M1 nativo che sembra diverso dalla scoperta di Wardle.

Dato che i chip ARM di Apple sono il futuro dei processori Mac, era inevitabile che gli autori di malware iniziassero a scrivere codice solo per loro. Qualcuno ha caricato l'adware personalizzato sulla piattaforma di test antivirus VirusTotal alla fine di dicembre, poco più di un mese dopo la spedizione dei laptop M1. Molti ricercatori e organizzazioni caricano regolarmente campioni di malware su VirusTotal automaticamente o naturalmente. Il campione di adware che Wardle ha scoperto utilizza una tattica standard di fingersi un'estensione del browser Safari legittima e quindi raccogliere i dati degli utenti e pubblicare annunci illeciti come banner e popup, inclusi quelli che collegano ad altri siti dannosi.

Apple ha rifiutato di commentare la scoperta. Wardle afferma che l'adware è stato firmato con un ID sviluppatore Apple, un account a pagamento che consente ad Apple di tenere traccia di tutti gli sviluppatori Mac e iOS, il 23 novembre. Da allora la società ha revocato il certificato a GoSearch22.

Il ricercatore di sicurezza per Mac di Malwarebytes, Thomas Reed, concorda con la valutazione di Wardle secondo cui l'adware non era di per sé molto nuovo. Ma aggiunge che è importante che i ricercatori di sicurezza sappiano che il malware M1 nativo non è solo “in arrivo”, ma già in giro.

"Era decisamente inevitabile: scrivere codici per M1 può essere facile come premere un interruttore nelle impostazioni del progetto", dice Reed. "E onestamente, non sono affatto sorpreso dal fatto che sia successo prima in Pirrit. Questa è una delle famiglie di adware per Mac più attive e una delle più antiche e cambia costantemente per eludere il rilevamento."

L'estensione dannosa per Safari ha alcune funzionalità anti-analisi, inclusa la logica per cercare di evitare gli strumenti di debug. Ma Wardle ha scoperto che mentre la suite di scanner antivirus di VirusTotal individua facilmente la versione x86 dell'adware come dannosa, c'è stato un calo del 15% nel rilevamento della versione M1.

"Alcuni strumenti difensivi come i motori antivirus faticano a elaborare questo" nuovo "formato di file binario", afferma Wardle. "Possono rilevare facilmente la versione Intel-x86, ma non sono riusciti a rilevare la versione ARM-M1, anche se il codice è logicamente identico."

I ricercatori di Red Canary sottolineano che c'è spesso un ritardo nei tassi di rilevamento poiché l'antivirus e altri strumenti di monitoraggio raccolgono "firme", o impronte digitali, per i nuovi tipi di malware.

"Guardare il malware che passa rapidamente da Intel a M1 è preoccupante, perché gli strumenti di sicurezza non sono pronti per affrontarlo", afferma Tony Lambert, analista dell'intelligence di Red Canary. "La comunità della sicurezza non dispone ancora di firme per rilevare queste minacce, poiché non sono state ancora osservate".

Lambert aggiunge che l'aggiunta di funzionalità di rilevamento per nuove piattaforme come M1 può essere un processo delicato. 

"M1 ha solo pochi mesi e i fornitori di sicurezza devono sviluppare il software con attenzione, perché non possono permettersi che gli strumenti rompano i sistemi dei clienti", afferma Lambert. "I fornitori di sicurezza spesso restano un po' indietro fino a quando il loro software non dispone di un record accettabile sui nuovi cambiamenti tecnologici".

Per ora, il malware M1 nativo che i ricercatori hanno scoperto non sembra essere di per sé una minaccia così pericolosa. Ma l'emergere di questi nuovi ceppi è un avvertimento che qualcosa potrebbe essere in arrivo e che gli strumenti di rilevamento devono colmare il divario per essere pronti.

 

Sei sicuro di proteggere davvero i tuoi dati e i tuoi dispositivi connessi online? Scarica il nostro ebook gratuito per conoscere i trucchi e i consigli per aumentare la tua sicurezza in rete.

Fonte: wired.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail