Jamf Blog
Are you ready? spelled out in wooden blocks
Février 17, 2021 Par Matthias Wollnik

Les malwares s’adaptent. Même à la puce M1.

Les auteurs de malwares optimisent leurs programmes sous la forme de binaires universels pour M1, et les solutions de protection des terminaux doivent y répondre.

Les avantages de la puce M1 et d'un binaire universel

Chez Jamf, nous avons passé beaucoup de temps à examiner les avantages de la nouvelle puce M1 Apple pour l'écosystème Mac. Si les avantages de la M1 en matière de sécurité sont assez clairs, une grande partie des discussions portent sur la nécessité pour les développeurs d'adapter leurs logiciels pour qu'ils prennent directement en charge la M1.

Les applications macOS se déclinent en deux types principaux :

- Celles qui prennent en charge les appareils MacIntel

- Celles qui prennent en charge à la fois les appareils Mac Intel et M1 : également appelé binaire universel

Lorsqu'un utilisateur tente d'exécuter sur un appareil M1 une application conçue uniquement pour la plateforme Intel, macOS utilise Rosetta 2 pour traduire le binaire. Cependant, cela peut entraîner des problèmes de performance, car le développeur ne valide pas cette façon d'exécuter son application. Les développeurs se dépêchent de reconstruire leurs applications en tant qu'applications universelles. Cela permettra non seulement de garantir un fonctionnement sans faille sur les appareils M1, mais aussi de bénéficier de la rapidité des appareils M1 pour exécuter des applications spécialement conçues à cet effet.

Des développeurs de malwares adaptent leurs malwares aux binaires universels

Les auteurs de malwares tirent parti de la performance du Mac M1 en adaptant leurs malwares à cette nouvelle architecture.

Patrick Wardle a détaillé ses recherches dans un récent article de blog. Pour faire court : les auteurs de malwares optimisent leurs malwares pour macOS en les reconstruisant en tant que binaires universels.

Le malware spécifique qui a été découvert est une variante du logiciel Pirrit, appelé GoSearch22.app. Alors que ce malware semble avoir été détecté en décembre 2020, elle a été signée (avec un certificat maintenant révoqué) en novembre 2020. En revanche, comme le binaire universel a été conçu pour fonctionner sur les appareils Intel et M1, ce qui n'est pas nécessaire, la plupart des moteurs antivirus - y compris Jamf Protect - identifient correctement cette variante de Pirrit et la bloquent.

Ce n'est que le début

La composante M1 du binaire universel en question a été identifiée par moins de logiciels antivirus et a introduit de nouveaux défis pour tout type d'analyse automatisée effectuée par ces outils. Il faut s'attendre à ce que les auteurs de malwares persistent et tirent parti des capacités de l'architecture M1. Cela introduit de nouveaux défis pour les outils antivirus qui ne sont pas conçus pour détecter les attaques et les logiciels malveillants sur Mac.

Bénéficiez d'une protection spécialement conçue pour les terminaux Mac grâce à Jamf Protect.

Photo of Matthias Wollnik
Jamf
Parcourir le blog
par catégorie :
S'abonner au blog

Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.