idNSA.id - Salah satu sampel malware pertama yang berjalan secara native pada chip M1 Apple telah ditemukan, ini menunjukkan bahwa bad actor telah mulai mengadaptasi software berbahaya untuk menargetkan Mac generasi terbaru perusahaan yang didukung oleh prosesornya sendiri.
Saat transisi ke silikon Apple mengharuskan developer untuk membangun versi baru aplikasi - untuk memastikan kinerja dan kompatibilitas yang lebih baik, pembuat malware sekarang melakukan langkah serupa untuk membangun malware yang mampu dijalankan secara asli pada sistem M1 baru Apple, menurut peneliti Keamanan macOS Patrick Wardle.
Wardle merinci ekstensi adware Safari yang disebut GoSearch22 yang awalnya ditulis untuk berjalan pada chip Intel x86 tetapi sejak itu telah diporting untuk berjalan pada chip M1 berbasis ARM. Bad Ekstensi, yang merupakan varian dari malware periklanan Pirrit, pertama kali terlihat pada 23 November 2020, menurut sampel yang diunggah ke VirusTotal pada 27 Desember 2020.
"Hari ini kami mengonfirmasi bahwa bac actor memang membuat aplikasi multi-arsitektur, sehingga kode mereka akan berjalan secara native di sistem M1," kata Wardle dalam artikel yang dipublikasikan. " Aplikasi GoSearch22 yang berbahaya mungkin merupakan contoh pertama dari kode asli yang kompatibel dengan M1."
Pertama kali didokumentasikan pada tahun 2016, Pirrit adalah keluarga adware Mac yang gigih yang terkenal karena mendorong iklan yang mengganggu dan menipu kepada pengguna yang ketika diklik, mengunduh dan menginstal aplikasi yang tidak diinginkan yang datang dengan fitur pengumpulan informasi.
Sementara itu, adware GoSearch22 yang sangat disamarkan menyamar sebagai ekstensi peramban Safari yang sah padahal sebenarnya, ia mengumpulkan data penjelajahan dan menyajikan sejumlah besar iklan seperti spanduk dan pop-up, termasuk beberapa tautan ke situs web yang meragukan untuk mendistribusikan malware tambahan.
Wardle mengatakan ekstensi tersebut ditandatangani dengan ID Pengembang Apple "hongsheng_yan" pada bulan November untuk lebih menyembunyikan konten berbahaya, tetapi telah dicabut, yang berarti aplikasi tidak akan lagi berjalan di macOS kecuali penyerang menandatanganinya kembali dengan sertifikat lain.
Meskipun pengembangan menyoroti bagaimana malware terus berkembang sebagai respons langsung terhadap kedua perubahan hardware, Wardle memperingatkan bahwa "tool analisis (statis) atau mesin antivirus mungkin kesulitan dengan binari arm64," dengan deteksi dari software keamanan terkemuka di industri turun sebesar 15% jika dibandingkan ke versi Intel x86_64.
Kemampuan malware GoSearch22 mungkin tidak sepenuhnya baru atau berbahaya, tapi intinya bukan itu. Jika ada, kemunculan malware baru yang kompatibel dengan M1 menandakan ini hanyalah permulaan, dan akan lebih banyak varian kemungkinan muncul di masa depan.
