Một phần mềm độc hại được thiết kế hoạt động trên chip M1 của Apple mới đây đã được phát hiện, cho thấy những kẻ tấn công đã bắt đầu có những điều chỉnh phương thức tấn công trên thế hệ máy Mac mới của Apple.
Theo MacRumors, nhà nghiên cứu bảo mật Patrick Wardle đã xuất bản một báo cáo được trích dẫn bởi Wired, giải thích chi tiết cách phần mềm độc hại bắt đầu được điều chỉnh và biên dịch lại để chạy nguyên bản trên chip M1.
Wardle phát hiện ra phần mềm độc hại gốc M1 đầu tiên được biết đến dưới dạng một tiện ích mở rộng quảng cáo của Safari, ban đầu được viết để chạy trên chip Intel x86. Phần mở rộng độc hại "GoSearch22" là một thành viên nổi tiếng của họ phần mềm quảng cáo "Pirrit" trên Mac và được phát hiện lần đầu tiên vào cuối tháng 12 qua. Pirrit là một trong những họ phần mềm quảng cáo Mac lâu đời nhất, hoạt động tích cực nhất và luôn thay đổi để cố gắng tránh bị phát hiện.
Phần mềm quảng cáo GoSearch22 tự ngụy trang như một tiện ích mở rộng hợp pháp cho trình duyệt Safari nhưng sẽ thu thập dữ liệu người dùng và phân phối đi một số lượng lớn quảng cáo như biểu ngữ và cửa sổ bật lên, bao gồm cả một số liên kết đến các trang web độc hại. Wardle cho biết phần mềm quảng cáo đã đăng ký với Apple Developer ID, một tài khoản trả phí cho phép Apple theo dõi tất cả nhà phát triển Mac và iOS, vào tháng 11.2020 để che giấu nội dung độc hại nhưng sau đó tài khoản đã bị thu hồi.
Wardle lưu ý phần mềm độc hại cho M1 vẫn còn ở giai đoạn đầu nên các chương trình quét virus không dễ dàng phát hiện ra. Ông nhấn mạnh “một số công cụ phòng thủ nhất định như phần mềm chống virus phải vật lộn để xử lý định dạng tập tin nhị phân mới này. Chúng có thể dễ dàng phát hiện phiên bản trên Intel-x86, nhưng không thể phát hiện phiên bản trên ARM-M1, mặc dù mã giống hệt nhau về mặt logic."
Các nhà nghiên cứu từ công ty bảo mật Red Canary nói các loại phần mềm độc hại trên M1 khác, khác với phát hiện của Wardle, cũng đã được tìm thấy và đang được điều tra.
Hiện tại, chỉ có MacBook Pro, MacBook Air và Mac mini mới đang sử dụng chip M1 mới của Apple, nhưng công nghệ này dự kiến sẽ mở rộng trên dòng máy Mac trong hai năm tới. Do tất cả máy tính Mac mới dự kiến sẽ trang bị chip mới của Apple trong tương lai gần, nên chắc chắn các phần mềm độc hại sẽ bắt đầu nhắm mục tiêu vào các máy mới của Apple.
Mặc dù phần mềm độc hại trên chip M1 mà các nhà nghiên cứu đã tìm thấy dường như không gây nên những điều bất thường hoặc đặc biệt nguy hiểm, nhưng sự xuất hiện của chủng loại mới đóng vai trò như một lời cảnh báo cho những biến thể mới trong tương lai gần.
Theo MacRumors, nhà nghiên cứu bảo mật Patrick Wardle đã xuất bản một báo cáo được trích dẫn bởi Wired, giải thích chi tiết cách phần mềm độc hại bắt đầu được điều chỉnh và biên dịch lại để chạy nguyên bản trên chip M1.
Wardle phát hiện ra phần mềm độc hại gốc M1 đầu tiên được biết đến dưới dạng một tiện ích mở rộng quảng cáo của Safari, ban đầu được viết để chạy trên chip Intel x86. Phần mở rộng độc hại "GoSearch22" là một thành viên nổi tiếng của họ phần mềm quảng cáo "Pirrit" trên Mac và được phát hiện lần đầu tiên vào cuối tháng 12 qua. Pirrit là một trong những họ phần mềm quảng cáo Mac lâu đời nhất, hoạt động tích cực nhất và luôn thay đổi để cố gắng tránh bị phát hiện.
Phần mềm quảng cáo GoSearch22 tự ngụy trang như một tiện ích mở rộng hợp pháp cho trình duyệt Safari nhưng sẽ thu thập dữ liệu người dùng và phân phối đi một số lượng lớn quảng cáo như biểu ngữ và cửa sổ bật lên, bao gồm cả một số liên kết đến các trang web độc hại. Wardle cho biết phần mềm quảng cáo đã đăng ký với Apple Developer ID, một tài khoản trả phí cho phép Apple theo dõi tất cả nhà phát triển Mac và iOS, vào tháng 11.2020 để che giấu nội dung độc hại nhưng sau đó tài khoản đã bị thu hồi.
Wardle lưu ý phần mềm độc hại cho M1 vẫn còn ở giai đoạn đầu nên các chương trình quét virus không dễ dàng phát hiện ra. Ông nhấn mạnh “một số công cụ phòng thủ nhất định như phần mềm chống virus phải vật lộn để xử lý định dạng tập tin nhị phân mới này. Chúng có thể dễ dàng phát hiện phiên bản trên Intel-x86, nhưng không thể phát hiện phiên bản trên ARM-M1, mặc dù mã giống hệt nhau về mặt logic."
Các nhà nghiên cứu từ công ty bảo mật Red Canary nói các loại phần mềm độc hại trên M1 khác, khác với phát hiện của Wardle, cũng đã được tìm thấy và đang được điều tra.
Hiện tại, chỉ có MacBook Pro, MacBook Air và Mac mini mới đang sử dụng chip M1 mới của Apple, nhưng công nghệ này dự kiến sẽ mở rộng trên dòng máy Mac trong hai năm tới. Do tất cả máy tính Mac mới dự kiến sẽ trang bị chip mới của Apple trong tương lai gần, nên chắc chắn các phần mềm độc hại sẽ bắt đầu nhắm mục tiêu vào các máy mới của Apple.
Mặc dù phần mềm độc hại trên chip M1 mà các nhà nghiên cứu đã tìm thấy dường như không gây nên những điều bất thường hoặc đặc biệt nguy hiểm, nhưng sự xuất hiện của chủng loại mới đóng vai trò như một lời cảnh báo cho những biến thể mới trong tương lai gần.
Theo Thanh Niên