Il ricercatore di sicurezza macOS indipendente Patrick Wardle, ha individuato nuove tecniche con cui i cyber criminali sono in grado di distribuire codice per sfruttare nativamente i nuovi processori dei computer Mac.
Secondo il ricercatore, la necessità per i cyber criminali di adattarsi al cambio di processore sui Mac è legata a una questione di velocità di esecuzione.
“Oggi abbiamo confermato che gli avversari dannosi stanno effettivamente realizzando applicazioni multi-architettura, in modo che il loro codice venga eseguito in modo nativo sui sistemi M1. L’applicazione dannosa GoSearch22 può essere il primo esempio di tale codice compatibile nativamente con M1.
La creazione di tali applicazioni è notevole per due ragioni principali. Innanzitutto (e non sorprende), questo dimostra che il codice dannoso continua ad evolversi in risposta diretta alle modifiche sia hardware che software provenienti da Cupertino. Esistono una miriade di vantaggi nella distribuzione nativa di file arm64 binari nativi, quindi perché gli autori di malware dovrebbero resistere?
In secondo luogo, e più preoccupante, strumenti di analisi (statica) o motori antivirus potrebbero avere problemi con i file arm64 binari”.
Il nuovo chip M1 sfrutta infatti un’architettura basata su arm64, che utilizza delle istruzioni diverse da quelle usate dalle CPU Intel. Quando un qualsiasi software che usa le istruzioni Intel viene eseguito sui nuovi computer, le istruzioni devono essere “tradotte” attraverso uno strumento integrato in macOS denominato Rosetta, pensato per agire in maniera completamente “trasparente” per l’utente. Rosetta opera quindi un processo di conversione in background consentendo così di usare le “vecchie” applicazioni.
La conversione, tuttavia, richiede del tempo e nella pratica può tradursi in rallentamenti del sistema più o meno vistosi che rappresentano un problema sia per gli sviluppatori di software legittimi che per i cyber criminali. Nella maggior parte dei casi, infatti, gli autori di malware evitano che l’attività del codice malevolo crei rallentamenti in quanto ciò potrebbe insospettire l’utente e portarlo a eseguire una scansione con l’antivirus.
“Rosetta è un processo di traduzione che consente agli utenti di eseguire app che contengono istruzioni x86_64 su silicio Apple. Per l’utente, Rosetta è per lo più trasparente. Se un eseguibile contiene solo istruzioni Intel, macOS avvia automaticamente Rosetta e avvia il processo di traduzione. Al termine della traduzione, il sistema avvia l’eseguibile tradotto al posto dell’originale. Tuttavia, il processo di traduzione richiede tempo, quindi gli utenti potrebbero percepire che le app tradotte vengono avviate o eseguite più lentamente a volte.
Il sistema preferisce eseguire le istruzioni arm64 di un’app su silicio Apple”.
“I nuovi sistemi M1 di Apple offrono una miriade di vantaggi e il codice arm64 compilato in modo nativo viene eseguito incredibilmente velocemente. Oggi abbiamo evidenziato il fatto che gli autori di malware si sono ora uniti ai ranghi degli sviluppatori… (ri) compilando il loro codice arm64 per ottenere la compatibilità nativa dei binari con l’ultimo hardware di Apple”, conclude il ricercatore.
https://objective-see.com/blog/blog_0x62.html
https://www.securityinfo.it/2021/02/17/arrivano-i-primi-malware-studiati-per-le-cpu-apple-m1/
