幾個(gè)月前，蘋(píng)果發(fā)布了新的MacBook Air，MacBook Pro和Mac Mini，它們均基于基于A(yíng)RM的CPU Apple M1。但是，看起來(lái)新設備并沒(méi)有被黑客所幸免。在最近由Wired(通過(guò)ArsTechnica)進(jìn)行的一次采訪(fǎng)中，Mac安全研究員Patrick Wardle發(fā)現了長(cháng)期運行的以Mac為目標的Pirrit廣告軟件系列的M1本機版本。

已經(jīng)提到，大多數現有的macOS惡意軟件都可以通過(guò)Rosetta 2在配備M1的Mac設備上運行。此外，多位作者并不關(guān)心設備中的CPU周期。但是，直接針對芯片組定位廣告軟件仍然有一些好處。代碼越有效，發(fā)現就越困難。

Wardle使用VirusTotal的研究人員帳戶(hù)查找基于M1的惡意軟件。盡管搜索結果主要是針對iOS的惡意軟件，但Wardle還是設法找到了一個(gè)名為GoSearch22的Safari擴展。據報道，該應用程序捆綁了Info.plist文件，以確認它確實(shí)是macOS應用程序，而不是iOS。

該應用程序已于2020年11月與Apple開(kāi)發(fā)人員ID“ hongsheng_yan”簽署。但是，由于該公司已吊銷(xiāo)證書(shū)，因此不確定Apple是否對它進(jìn)行了公證。由于證書(shū)已被吊銷(xiāo)，因此GoSearch22的版本將不再在macOS上運行。直到作者設法用另一個(gè)開(kāi)發(fā)者密鑰對其進(jìn)行簽名為止。

如報告中所述，GoSearch22 Wardle發(fā)現了24個(gè)不同的惡意軟件檢測引擎，其中17個(gè)是“通用”的，而其余7個(gè)與Pirrit廣告軟件系列的簽名相匹配。

對于那些不了解的人，Pirrit是一個(gè)長(cháng)期運行的惡意軟件家族，始于Windows，但最終進(jìn)入了macOS。研究人員于2016年首次報告了其在macOS上的存在。用戶(hù)安裝基于Pirrit的軟件后，該軟件的范圍可能從偽造的視頻播放器到PDF閱讀器，或者是safari擴展程序，在這種情況下，用戶(hù)的默認引擎是變成了不同而無(wú)益的東西。

此外，跟蹤他們的Web瀏覽器使用情況，并在訪(fǎng)問(wèn)的網(wǎng)頁(yè)上塞滿(mǎn)不需要的廣告。安裝后，該惡意軟件會(huì )使用技巧來(lái)保持安裝狀態(tài)并未被發(fā)現。該惡意軟件還會(huì )找出并刪除可能會(huì )干擾它的應用程序和瀏覽器擴展。