Los atacantes ya apuntan al chip M1 de Apple con …



Un programa de prueba de concepto infecta los sistemas con binarios compilados en ARM64 y luego se comunica para descargar funcionalidades adicionales.

El último procesador para Mac de Apple, el chip M1, ya se ha convertido en un objetivo para los autores de malware, que han creado binarios específicos para Mac dirigidos a la arquitectura ARM64 utilizada por los procesadores, dijeron investigadores esta semana.

Por ejemplo, un descargador de malware de MacOS, denominado Silver Sparrow, tiene una serie de propiedades interesantes, incluido el uso de la API de JavaScript del instalador de MacOS para crear persistencia y comunicación con una infraestructura de comando y management (C2) construida sobre Amazon Website Expert services. (AWS) y la crimson de distribución de contenido (CDN) de Akamai, afirmó la firma de seguridad Purple Canary en un análisis del nuevo malware. Además, el malware también se ejecuta de forma nativa en las últimas Mac que ejecutan la arquitectura M1 ARM64.

Si bien la creación de un binario nativo para la arquitectura ARM64 es un paso interesante por parte de los atacantes, el desarrollo simplemente permite que el malware se ejecute un poco más rápido y puede evitar algunas medidas de seguridad centradas en x86, dice Tony Lambert, analista de inteligencia de Red Canary.

«Esta amenaza no se aprovechó de ninguna característica specific única de M1 en sí», dice, pero agrega que «el malware tiene una mayor probabilidad de éxito en los sistemas M1 debido a la (relativa falta de) disponibilidad de herramientas de seguridad para el nueva arquitectura «.

Los atacantes se han centrado tradicionalmente en los sistemas Mac como una ocurrencia tardía, ya que las computadoras basadas en Home windows han dominado históricamente las aplicaciones comerciales. Sin embargo, eso ha cambiado durante la última década, con atacantes de estado-nación y piratas informáticos más sofisticados que se centran en los sistemas Mac, y los ciberdelincuentes intentan centrarse en áreas legales grises, como el adware. En 2020, por ejemplo, casi todo el malware encontrado por los usuarios de Mac period adware o programas potencialmente no deseados (PUP), no malware.

En el caso de Silver Sparrow, la creación de un binario específico de M1 es simplemente un punto de interés, dice Lambert. La plataforma de malware actualmente no tiene ninguna etapa posterior, por lo que sus intentos por hora de contactar la infraestructura C2 del operador no dan como resultado la instalación de características o funciones adicionales, según Crimson Canary.

Sin embargo, aunque adaptar el código al chip M1 requiere poco esfuerzo por parte de los autores del malware, basta con compilar el código en una Mac M1, el hecho de que alguien lo haya hecho indica que los atacantes están mirando hacia el futuro. Además, las empresas de seguridad podrían estar rezagadas, dice Lambert.

«Dado que la arquitectura cambió, los desarrolladores de computer software necesitan recompilar sus productos y probar los nuevos sistemas», dice. «Como resultado, algunos proveedores de seguridad no se han puesto completamente al día con el cambio tecnológico».

Los programas ARM64 no nativos utilizan una tecnología de Apple conocida como Rosetta para ejecutarse en Macs basados ​​en M1. Debido a que el malware no tiene que pasar por el sistema Rosetta para compatibilidad con versiones anteriores, podría evitar la detección.

El investigador independiente Patrick Wardle buscó en el repositorio de malware VirusTotal información sobre binarios recientes y encontró al menos un programa que parece ser un ejecutable M1 malicioso. Los programas maliciosos M1 parecen evadir la detección de los sistemas antivirus actuales, dijo en un análisis.

«(Más) preocupantemente, las herramientas de análisis (estáticas) o los motores antivirus pueden tener problemas con los binarios ARM64», escribió. «Desafortunadamente, las detecciones de la versión arm64 disminuyeron aproximadamente un 15%, en comparación con la versión independiente x86_64, (y) varios motores AV líderes en la industria, que detectaron fácilmente la versión x86_64, no marcaron el binario ARM64 malicioso».

Otro enfoque anti-detección: el malware Silver Sparrow también united states la API de JavaScript para automatizar la instalación y la persistencia, algo que los investigadores no han visto en el malware de Mac en el pasado y que el software de seguridad podría pasar por alto, dice Lambert de Purple Canary.

«Si los defensores tienen análisis de detección escritos para buscar scripts maliciosos previos o posteriores a la instalación, una ruta recurring que toman los instaladores maliciosos, el uso de la API de JavaScript para invocar comandos evitará esos análisis de detección porque create un patrón diferente en la telemetría». Lambert dice. «En este caso, el uso de JavaScript hace que el proceso legítimo del instalador de macOS invoque los comandos sin indicar la fuente precisa dentro del paquete del instalador».

Crimson Canary y otras firmas de seguridad notificaron a Apple y Amazon sobre los problemas, y ambas compañías han tomado medidas para mitigar el impacto de Silver Sparrow. Apple ha revocado las ID de desarrollador específicas utilizadas para crear el malware, y Amazon ha trabajado para evitar el acceso a los depósitos de S3 específicos utilizados por la infraestructura de malware.

«Afortunadamente, ese riesgo está disminuyendo debido a la respuesta de Apple y Amazon … ambos tienen procesos internos para investigar y eliminar el uso malicioso de sus sistemas», dice Lambert. «Dicho esto, todavía es posible que existan versiones de Silver Sparrow en la naturaleza que ningún proveedor haya observado y que usen diferentes instancias de S3 o dominios de devolución de llamada. Esos usuarios definitivamente estarían en riesgo».

Si bien a mediados de agosto apareció una versión no M1 de la infraestructura C2, la infraestructura de malware se actualizó en diciembre con los dominios de descarga M1 en diciembre. Los programas reales se han enviado a VirusTotal en el último mes.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Examining, MIT&#39s Technological know-how Critique, Well-liked Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary