Malware passt sich an. Auch an den M1-Chip.

Malware-Autoren bauen Malware für M1 als universelle Binärdateien neu auf, und der Endpoint Protection muss dem Rechnung tragen.

February 17 2021 Von

Mignon Wagner

Are you ready? spelled out in wooden blocks

Vorteile des M1-Chips und einer universellen Binärdatei

Hier bei Jamf haben wir viel Zeit damit verbracht, die Vorteile zu betrachten, die der neue M1-Chip von Apple für das Mac-Ökosystem bringt. Während die Sicherheitsvorteile für M1 ziemlich klar sind, konzentrierte sich ein Großteil der Diskussion um diese neue Architektur auf Entwickler, die ihre Software anpassen müssen, um M1 direkt zu unterstützen.

macOS-Apps gibt es in zwei primären Varianten:

  • Solche, die Intel-basierte Mac Geräte unterstützen
  • Diejenigen, die sowohl Intel- als auch M1-basierte Mac Geräte unterstützen: auch als Universal Binary bezeichnet.

Wenn ein Benutzer versucht, eine Anwendung, die nur für die Intel-Plattform entwickelt wurde, auf einem M1 Gerät auszuführen, verwendet macOS eine Übersetzungsschicht, die als Rosetta 2 bekannt ist, um die Binärdatei zu übersetzen. Dies hat jedoch das Potenzial, Leistungsprobleme und Bugs einzuführen, da der Entwickler diese Art der Ausführung seiner App nicht generell validiert. Die Entwickler beeilen sich, ihre Apps als Universal-Apps neu zu erstellen. Dies stellt nicht nur sicher, dass sie auf M1 Geräten fehlerfrei laufen, sondern nutzt auch die Geschwindigkeit von M1 Geräten, auf denen speziell entwickelte Apps laufen.

Engagierte Malware-Entwickler bauen ihre Malware für universelle Binärdateien um

Wir sehen jetzt, wie Malware-Entwickler die Vorteile der Leistung nutzen, die M1 für jede Software bringt, die auf diesen Geräten läuft.

Patrick Wardle hat seine Jagd nach Malware, die M1 unterstützt, in einem neuen Blogbeitrag zu diesem Thema detailliert beschrieben. Um es kurz zu machen: Malware-Autoren bauen Malware für M1 als universelle Binärdateien um.

Bei der von ihm entdeckten Malware handelt es sich um eine Variante der Pirrit-Adware (die sich GoSearch22.app nennt). Das entdeckte Beispiel wurde offenbar Ende Dezember 2020 im Rahmen eines Incident-Response-Prozesses eingefangen, wurde aber bereits im November 2020 signiert (mit einem inzwischen widerrufenen Zertifikat). Positiv ist, dass die universelle Binärdatei so erstellt wurde, dass sie sowohl auf Intel- als auch auf M1-Geräten läuft, was nicht erforderlich ist, und dass die meisten Antiviren-Engines - einschließlich Jamf Protect - diese Variante von Pirrit korrekt erkennen und blockieren.

Nur der Anfang: Die Malware-Autoren werden ihre Bemühungen fortsetzen

Die M1-Komponente der fraglichen Universal Binary wurde von weniger Antiviren-Engines identifiziert und stellt neue Herausforderungen für jede Art von automatisierter Analyse dieser Art von Tools dar. Es ist zu erwarten, dass die Malware-Autoren weiterhin alles daran setzen werden, eine Erkennung zu vermeiden und gleichzeitig die Leistungssteigerung der M1-Architektur auszunutzen. Dies stellt neue Herausforderungen für Antiviren-Tools dar, die nicht von Grund auf für die Erkennung von Angriffen und Malware für den Mac konzipiert sind.

Holen Sie sich mit Jamf Protect einen maßgeschneiderten Mac Endpoint Protection.

Abonnieren Sie den Jamf Blog

Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.

Tags: