Lamiyi

セキュリティ研究者のパトリック・ウォードル氏は、M1 Mac でネイティブに実行される可能性のある初のマルウェアを発見した。

Wardle 氏は、自分のアプリを Apple Silicon 上でネイティブに実行できるようにアップデートする作業中に、マルウェア開発者もアプリをアップデートしているのではないかと考えました。

ネイティブM1互換性を実現するためにツールを再構築していたとき、マルウェア作成者も同じようなことに時間を費やしている可能性を思い浮かべました。結局のところ、マルウェアは単なるソフトウェア（悪意はあるものの）なので、Appleの新しいM1システムでネイティブに実行されるように作られたマルウェアが（いずれは）登場しても不思議ではないと考えました。

下記のリンク先のブログ記事で詳細を述べている調査の後、Wardle 氏は GoSearch22 を発見しました。

GoSearch22.appは、起動エージェントを永続化し、悪意のあるSafari拡張機能として自身をインストールする「Pirrit」アドウェアのインスタンスです。このコードはデバッグを阻止し、仮想マシンで実行されているかどうかを検出しようとします。

GoSearch22のようなアプリをブラウザやオペレーティングシステムにインストールすると、クーポン、バナー、ポップアップ広告、アンケート、その他の種類の広告が時折表示されることがあります。GoSearch22のようなアプリの広告は、多くの場合、怪しいウェブサイトを宣伝したり、特定のスクリプトを実行して不要なアプリをダウンロードさせたりインストールさせたりすることを目的として設計されています。さらに、GoSearch22のようなアドウェア型アプリは、閲覧データを収集するように設計されている傾向があります。例えば、IPアドレス、訪問したウェブページのアドレス、入力された検索クエリ、位置情報、その他の閲覧関連情報などです。

注目すべきことに、Wardle氏がGoSearch22の分離バイナリをVirusTotalにアップロードしたところ、arm64版の検出率がx86_64版よりも約15%低いことが判明しました。これは、一部のセキュリティ対策ツールでは、M1ユーザーを標的とするマルウェアを検出できない可能性があることを意味します。

詳細については、以下のリンク先の完全なレポートをご覧ください。

続きを読む