Apple Silicon : les malwares aussi arrivent en natif
Un chercheur attire l'attention sur un adware adapté aux puces Apple Silicon. Les antivirus le détectent moins bien que sa version conçue pour les Mac Intel.
Les antivirus se sont-ils mis à la page d'Apple Silicon ? La question se pose au vu d'une expérimentation menée sur la plate-forme VirusTotal. Elle a consisté à analyser séparément les versions arm64 et x64 d'un même malware pour Mac. Résultat : le premier échantillon est nettement plus souvent passé sous les radars des moteurs de détection.
Ce malware se rattache à Pirrit, une des familles d'adwares les plus actives sur Mac. Il a effectivement la particularité d'exister dans une version native à la puce M1 d'Apple. Celle-ci complète la version conçue pour les Mac Intel, l'ensemble étant distribué sous la forme d'un binaire universel. La souche était hébergée sur VirusTotal depuis le 27 décembre 2020. Une recherche filtrée l'a fait ressortir.
Le programme prend la forme d'une extension pour Safari. Le code malveillant sur lequel il s'appuie se trouve dans un fichier JavaScript. De nombreux éléments sont masqués. On retrouve des caractéristiques typiques de la famille Pirrit. Parmi elles, la détection de VM et la protection contre le débogage.
Le binaire bénéficie d'une signature, effectuée le 23 novembre 2020 avec un ID de développeur Apple. Mais la firme de Cupertino a depuis lors révoqué le certificat.
Photo d'illustration © larsomat / CC BY-NC-SA 2.0
Sur le même thème
Voir tous les articles Workspace