Apple Silicon 向けに最適化された初のマルウェアが発見されるc

Apple Silicon搭載Macが初めて発売されてからわずか数ヶ月、人気アプリの多くがM1 MacBook Air、Pro、Mac miniへのネイティブサポートに対応しました。それから間もなく、Apple Silicon向けに最適化されたと思われる最初のマルウェアが、インターネット上で発見されました。

この発見は、セキュリティ研究者でありObjective-Seeの創設者でもあるパトリック・ウォードル氏によってなされました。パトリック氏は、非常に詳細な分析の中で、Apple Siliconを標的とした新たなマルウェアを発見した経緯と、それがなぜ重要なのかを解説しました。

ネイティブM1互換性を実現するためにツールを再構築していたとき、マルウェア作成者も同じようなことに時間を費やしている可能性を思い浮かべました。結局のところ、マルウェアは単なるソフトウェア（悪意はあるものの）なので、Appleの新しいM1システムでネイティブに実行されるように作られたマルウェアが（いずれは）登場しても不思議ではないと考えました。
ネイティブM1マルウェアの探索を始める前に、「プログラムがM1用にネイティブコンパイルされたかどうかをどのように判断すればよいのか？」という疑問に答えなければなりません。簡単に言うと、プログラムにはarm64コードが含まれているはずです。では、どうすればそれを確認できるのでしょうか？
簡単な方法の一つは、macOS の組み込みファイルツール（または lipo -archs）を使うことです。このツールを使えば、バイナリにコンパイルされた arm64 コードが含まれているかどうかを確認できます。

パトリックは最終的にVirusTotalの無料リサーチャーアカウントを使って調査を開始しました。Apple Silicon向けに真に最適化されたマルウェアが存在するかどうかを見極める上で重要なのは、実際にはiOSバイナリであるユニバーサルアプリを除外することでした。

絞り込んだ後、パトリックは「GoSearch22」を興味深い発見として見つけました。

さらにいくつかのチェックを経て、パトリックはこれが M1 Mac 向けに最適化されたマルウェアであることを確認できました。

やったー！ネイティブM1（arm64）コードを含むmacOSプログラムを発見しました…しかも悪意のあるプログラムとして検出されました！これは、マルウェア/アドウェアの作者たちが、Appleの最新ハードウェアとネイティブ互換性を持たせるために悪意のあるプログラムを開発していることを裏付けています。🥲
また、GoSearch22 が実際に 2020 年 11 月 23 日に Apple 開発者 ID (hongsheng yan) を使用して署名されたことも重要です。

パトリック氏は、Appleが現時点で証明書を失効させているため、Appleがコードを認証したかどうかは不明だと指摘しています。しかし、それでも…

わかっているのは、このバイナリが実際に検出された（そして Objective-See ツールを介してユーザーによって送信された）ため、認証されたかどうかに関係なく、macOS ユーザーが感染したということです。

さらに調査を進めた結果、パトリックはApple Silicon向けに最適化されたマルウェア「GoSearch22」が、「蔓延しているものの、かなり狡猾な『Pirrit』アドウェア」の亜種であることを突き止めました。そして具体的には、この新たなインスタンスは「起動エージェントを永続化」し、「悪意のあるSafari拡張機能として自身をインストールする」ことを目的としているようです。

さらに注目すべきは、Apple Silicon向けに最適化されたGoSearch22が、最初のM1 Macが発売されてからわずか数週間後の12月27日に初めて登場したことです。Patrick氏によると、あるユーザーがObjective-Seeのツールを使って実際にこのマルウェアをVirusTotalに報告したそうです。