WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Phát hiện malware đầu tiên được thiết kế cho chip M1 của Apple
Một mã độc được thiết kế cho chip M1 của Apple mới đây đã bị phát hiện, cho thấy những kẻ tấn công đã bắt đầu có những điều chỉnh phương thức tấn công trên thế hệ máy Mac mới của Apple.
Theo MacRumors, nhà nghiên cứu bảo mật Patrick Wardle đã đưa ra một báo cáo giải thích chi tiết cách mã độc được điều chỉnh và biên dịch lại để chạy nguyên bản trên chip M1.
Wardle phát hiện mã độc gốc M1 đầu tiên là dưới dạng một tiện ích mở rộng quảng cáo của Safari, ban đầu được viết để chạy trên chip Intel x86. Phần mở rộng độc hại "GoSearch22" thuộc họ phần mềm quảng cáo "Pirrit" trên Mac và được phát hiện lần đầu tiên vào cuối tháng 12/2020. Pirrit là một trong những họ phần mềm quảng cáo Mac lâu đời nhất, hoạt động tích cực nhất và luôn thay đổi để cố gắng tránh bị phát hiện.
Phần mềm quảng cáo GoSearch22 tự ngụy trang như một tiện ích mở rộng hợp pháp cho trình duyệt Safari, thu thập dữ liệu người dùng và phân phối đi một số lượng lớn quảng cáo như biểu ngữ và cửa sổ bật lên, bao gồm cả một số liên kết đến các trang web độc hại. Wardle cho biết phần mềm quảng cáo đã đăng ký với Apple Developer ID, một tài khoản trả phí cho phép Apple theo dõi tất cả nhà phát triển Mac và iOS, vào tháng 11/2020 để che giấu nội dung độc hại nhưng sau đó tài khoản đã bị thu hồi.
Wardle lưu ý mã độc cho M1 vẫn còn ở giai đoạn đầu nên các chương trình quét virus không dễ dàng phát hiện ra. Ông nhấn mạnh “một số phần mềm diệt virus phải 'vật lộn' mới xử lý được định dạng tập tin nhị phân mới này. Chúng có thể dễ dàng phát hiện phiên bản trên Intel-x86, nhưng không thể phát hiện phiên bản trên ARM-M1, mặc dù mã giống hệt nhau về mặt logic".
Các nhà nghiên cứu Red Canary cho hay các loại mã độc trên M1, khác với phát hiện của Wardle, cũng đã được tìm thấy và đang được điều tra.
Hiện tại, chỉ có MacBook Pro, MacBook Air và Mac mini mới đang sử dụng chip M1 mới của Apple. Công nghệ này dự kiến sẽ mở rộng trên dòng máy Mac trong hai năm tới. Do tất cả máy tính Mac mới dự kiến sẽ trang bị chip mới của Apple trong tương lai gần, nên chắc chắn mã độc sẽ bắt đầu nhắm mục tiêu vào các máy mới của Apple.
Mặc dù mã độc trên chip M1 dường như không gây nên những điều bất thường hoặc đặc biệt nguy hiểm, nhưng sự xuất hiện của chúng đóng vai trò như một lời cảnh báo cho những biến thể mới trong tương lai gần.
Theo MacRumors, nhà nghiên cứu bảo mật Patrick Wardle đã đưa ra một báo cáo giải thích chi tiết cách mã độc được điều chỉnh và biên dịch lại để chạy nguyên bản trên chip M1.
Wardle phát hiện mã độc gốc M1 đầu tiên là dưới dạng một tiện ích mở rộng quảng cáo của Safari, ban đầu được viết để chạy trên chip Intel x86. Phần mở rộng độc hại "GoSearch22" thuộc họ phần mềm quảng cáo "Pirrit" trên Mac và được phát hiện lần đầu tiên vào cuối tháng 12/2020. Pirrit là một trong những họ phần mềm quảng cáo Mac lâu đời nhất, hoạt động tích cực nhất và luôn thay đổi để cố gắng tránh bị phát hiện.
Phần mềm quảng cáo GoSearch22 tự ngụy trang như một tiện ích mở rộng hợp pháp cho trình duyệt Safari, thu thập dữ liệu người dùng và phân phối đi một số lượng lớn quảng cáo như biểu ngữ và cửa sổ bật lên, bao gồm cả một số liên kết đến các trang web độc hại. Wardle cho biết phần mềm quảng cáo đã đăng ký với Apple Developer ID, một tài khoản trả phí cho phép Apple theo dõi tất cả nhà phát triển Mac và iOS, vào tháng 11/2020 để che giấu nội dung độc hại nhưng sau đó tài khoản đã bị thu hồi.
Wardle lưu ý mã độc cho M1 vẫn còn ở giai đoạn đầu nên các chương trình quét virus không dễ dàng phát hiện ra. Ông nhấn mạnh “một số phần mềm diệt virus phải 'vật lộn' mới xử lý được định dạng tập tin nhị phân mới này. Chúng có thể dễ dàng phát hiện phiên bản trên Intel-x86, nhưng không thể phát hiện phiên bản trên ARM-M1, mặc dù mã giống hệt nhau về mặt logic".
Các nhà nghiên cứu Red Canary cho hay các loại mã độc trên M1, khác với phát hiện của Wardle, cũng đã được tìm thấy và đang được điều tra.
Hiện tại, chỉ có MacBook Pro, MacBook Air và Mac mini mới đang sử dụng chip M1 mới của Apple. Công nghệ này dự kiến sẽ mở rộng trên dòng máy Mac trong hai năm tới. Do tất cả máy tính Mac mới dự kiến sẽ trang bị chip mới của Apple trong tương lai gần, nên chắc chắn mã độc sẽ bắt đầu nhắm mục tiêu vào các máy mới của Apple.
Mặc dù mã độc trên chip M1 dường như không gây nên những điều bất thường hoặc đặc biệt nguy hiểm, nhưng sự xuất hiện của chúng đóng vai trò như một lời cảnh báo cho những biến thể mới trong tương lai gần.
Theo Thanh Niên
Chỉnh sửa lần cuối bởi người điều hành: