Apple Silicon M1を標的とした最初のマルウェアが発見される

Apple Silicon M1 Mac に固有の最初のマルウェアが、独立系セキュリティ研究者の Patrick Wardle 氏によって発見されました。

元NSA研究者のパトリック・ウォードル氏は最近、AppleのM1プロセッサのセキュリティを称賛したが、それでもハッカーが同プロセッサ向けにマルウェアを再コンパイルしていた証拠を発見した。

Wardle氏は、長年存在していたアドウェア「Pirrit」のM1ネイティブ版であるGoSearch22.appの存在を発見しました。このバージョンは、広告を表示し、ユーザーのブラウザからデータを収集することを目的としていたようです。

「本日、悪意のある攻撃者が実際にマルチアーキテクチャアプリケーションを作成し、そのコードをM1システムでネイティブに実行できるようにしていることを確認しました」とWardle氏はブログ記事で述べています。「悪意のあるGoSearch22アプリケーションは、このようなネイティブM1互換コードの最初の例となる可能性があります。」

「このようなアプリケーションの作成は、主に2つの理由で注目に値します」と彼は続ける。「第一に（そして当然のことながら）、これは、悪意のあるコードがクパチーノで発生するハードウェアとソフトウェアの両方の変更に直接反応して進化し続けていることを示しています。」

「ネイティブarm64バイナリをネイティブに配布することには無数のメリットがあるのに、マルウェア作成者が抵抗する理由は何でしょうか？」と彼は続ける。「第二に、そしてより懸念されるのは、（静的）解析ツールやアンチウイルスエンジンがこれを検出するのに苦労する可能性があることです。」

Wardle 氏によると、現在多くのウイルス対策システムは Intel 版の Pirrit を検出できるが、Apple Silicon M1 版は検出できなかったという。

Appleは開発者証明書を失効させたため、このアプリは実行できなくなりました。ウォードル氏は、これは配布に関してもはや解決できない問題が存在することを意味すると述べています。

「Appleがコードを認証したかどうかは不明だ」とウォードル氏は指摘した。つまり、開発者がAppleにコードを提出したのか、それとも同社のセキュリティを回避しようとしたのか、ということだ。「Appleが証明書を取り消したため、この質問には答えられない」

「わかっているのは」と彼は続ける。「このバイナリが実際に検出されたため、認証されているかどうかにかかわらず、macOS ユーザーが感染したということです。」