Un chercheur a repéré le premier logiciel malveillant Mac qui semble avoir été créé spécifiquement pour les appareils dotés de la puce M1 récemment introduite par Apple.

Le malware a été découvert par Patrick Wardle, un chercheur en cybersécurité spécialisé dans les produits Apple. Wardle a développé plusieurs outils de sécurité gratuits et open source pour Mac et a eu l’idée de rechercher des logiciels malveillants conçus pour s’exécuter en natif sur les systèmes M1 tout en reconstruisant ses outils pour une compatibilité M1 native.

Le système sur puce M1 (SoC), dévoilé par Apple en novembre 2020, est conçu pour des performances accrues, ainsi qu’une meilleure sécurité, le géant de la technologie basé à Cupertino, en Californie, affirmant qu’il inclut des protections de sécurité intégrées profondément dans son architecture d’exécution de code.

La puce M1 utilise l’architecture du processeur arm64 et les applications développées spécifiquement pour les Mac alimentés par le M1 contiennent du code arm64. Wardle a recherché de tels échantillons dans le service d’analyse de logiciels malveillants VirusTotal de Google et a découvert une application nommée GoSearch22, qui s’est avérée être une variante de Pirrit, un logiciel publicitaire qui existe depuis plusieurs années.

L’échantillon découvert par le chercheur, soumis fin décembre 2020, avait été signé avec un identifiant de développeur Apple et il avait apparemment été détecté dans la nature. La variante du logiciel publicitaire développée pour les systèmes M1 a été conçue pour s’installer en tant qu’extension Safari et contient diverses capacités anti-analyse.

Une petite expérience menée par Wardle a également montré que les outils d’analyse statique et les moteurs anti-malware pouvaient avoir des difficultés à analyser et à détecter les malwares arm64, par rapport aux binaires x86_64.

«Les nouveaux systèmes M1 d’Apple offrent une myriade d’avantages, et le code arm64 compilé en natif s’exécute à une vitesse fulgurante. Aujourd’hui, nous avons mis en évidence le fait que les auteurs de malwares ont désormais rejoint les rangs des développeurs… (re) compilant leur code vers arm64 pour obtenir une compatibilité nativement binaire avec Apple’s …