Phát hiện mã độc đầu tiên được thiết kế đặc biệt nhắm tới chip Apple M1

Quyết định bất ngờ của Apple trong việc trang bị con chip M1 “cây nhà lá vườn” trên các mẫu MacBook thế hệ mới nhất đã mang lại nhiều tiếng vang lớn. Đến thời điểm hiện tại, có thể nói đây là một bước đi thành công của gã khổng lồ công nghệ Hoa Kỳ khi con chip mới mang đến cho những chiếc MacBook hiệu năng ấn tượng cũng như khả năng tương thích phần mềm tốt.

Sự thành công của MacBook M1 trở thành sản phẩm công nghệ được yêu thích, và chính điều này cũng đã thu hút sự chú ý của giới hacker.

Mới đây, một trong những mẫu phần mềm độc hại (mã độc) đầu tiên được thiết kế để chạy nguyên bản trên chip M1 của Apple đã chính thức được phát hiện. Sự kiện này cho thấy giới tội phạm mạng đã bắt đầu đẩy mạnh phát triển các loại mã độc mới để nhắm mục tiêu triệt để, hiệu quả hơn vào thế hệ máy Mac với con chip M1 hoàn toàn mới.

Quá trình chuyển đổi sang con chip mới của Apple đòi hỏi các nhà phát triển ứng dụng phải xây dựng phiên bản mới cho sản phẩm của mình để đảm bảo hiệu suất và khả năng tương thích tốt hơn. Ở phía đối diện, giới tin tặc cũng đang thực hiện các bước tương tự để tạo ra những chủng mã độc mới sở hữu khả năng thực thi nguyên bản trên các hệ thống M1 của Apple.

Theo phát hiện của nhà nghiên cứu bảo mật macOS Patrick Wardle, một tiện ích mở rộng dạng phần mềm quảng cáo trên Safari có tên GoSearch22 ban đầu được viết để chạy trên chip Intel x86, nhưng sau đó đã được chuyển sang chạy trên chip M1 với kiến trúc ARM. Đây là một tiện ích mở rộng chứa phần mềm độc hại - biến thể của mã độc quảng cáo Pirrit, vốn đã được phát hiện lần đầu tiên vào ngày 23 tháng 11 năm 2020, sau đó tải lên VirusTotal vào ngày 27 tháng 12. Đáng chú ý, GoSearch22 rất có thể là ví dụ đầu tiên về ứng dụng chứa mã độc tương thích M1 nguyên bản được tìm thấy đang hoạt động trong tự nhiên.

Được ghi nhận lần đầu vào năm 2016, Pirrit là một họ phần mềm quảng cáo Mac đã tồn tại dai dẳng, và nổi tiếng với khả năng phân phối các loại quảng cáo xâm nhập cũng như lừa đảo. Khi người chẳng may nhấp vào các quảng cáo này, lập tức hàng loạt ứng dụng không mong muốn đi kèm với những tính năng thu thập thông tin sẽ được tự động tải về và chạy trên hệ thống của họ.

Về phần mình, GoSearch22 tự ngụy trang thành một tiện ích mở rộng trình duyệt Safari hợp pháp trong khi trên thực tế, nó có hành vi thu thập dữ liệu duyệt web và phân phát một số lượng lớn quảng cáo liên kết đến các trang web đáng ngờ để phân phối thêm phần mềm độc hại.

Nhà nghiên cứu Patrick Wardle cho biết phần mở rộng đã được ký với ID nhà phát triển Apple "hongsheng_yan" vào tháng 11 để che giấu thêm nội dung độc hại của nó. Tuy nhiên ngay sau đó, giấy phép này đã bị thu hồi, có nghĩa là ứng dụng sẽ không còn chạy trên macOS trừ khi những kẻ tấn công ký lại nó bằng một chứng chỉ khác.

Wardle đồng thời cũng cảnh báo rằng "các công cụ phân tích (tĩnh) hoặc công cụ chống virus có thể gặp khó khăn với mã nhị phân arm64". Có thể phần mềm độc hại ẩn chứa trong GoSearch22 không hoàn toàn mới hoặc thực sự nguy hiểm. Nhưng sự xuất hiện của nó báo hiệu đây mới chỉ là sự khởi đầu và sẽ còn có rất nhiều biến thể phần mềm độc hại tương thích với chip M1 sẽ xuất hiện trong tương lai.