O processador M1, lançado pela Apple em novembro de 2020, já conta com malwares desenhados especificamente para atacar a sua arquitetura, segundo descobertas de diversos pesquisadores de segurança. Segundo a Wired, variações de ferramentas maliciosas já existentes foram recentemente redesenvolvidas para o novo chip, que a empresa fabrica internamente.
A primeira descoberta veio pelo especialista Patrick Wardle, especializado em dispositivos da Apple. Segundo ele, uma extensão do Safari que se comporta como um adware, chamada GoSearch22 (membro da família Pirrit de adwares), conta com uma versão para o processador M1.
“Isso mostra como criadores de malwares estão evoluindo e se adaptando para se manterem à frente das últimas atualizações de hardware e software da Apple”, disse Wardle, que admitiu nunca ter visto algo do tipo antes. “Até onde sei, é a primeira vez que vemos algo assim”.
Outra ameaça vem sendo estudada pela firma de segurança digital Red Canary, que afirma ter encontrado um malware diferente daquele relatado por Wardle, mas ainda não ofereceu maiores detalhes.
Malware adaptado para o M1
A chegada do processador M1 trouxe o fim da parceria entre Apple e Intel. Antes dele, desde 2005, a empresa de Cupertino dependia da arquitetura x86 da companhia de Santa Clara. O novo processador, de desenvolvimento próprio, fez com que desenvolvedores legítimos da Apple tivessem que readaptar as suas aplicações para tirarem o máximo de proveito do componente – ou isso, ou arriscar uma queda de performance por meio do emulador autorizado Rosetta 2.
Entretanto, o mesmo parece ser verdade para os hackers: à medida que o processador M1 deu à Apple capacidade para implementar diretrizes específicas de segurança, desenvolvedores de malwares também tiveram que adaptar suas criações para o novo ambiente.
Wardle afirma que a extensão que identificou era assinada por uma Apple ID com data de novembro de 2020 – uma conta paga que permite à Apple monitorar todos os seus desenvolvedores independentes. Embora a fabricante tenha se recusado a comentar o caso, o certificado de segurança emitido para a extensão GoSearch22 foi revogado.
Falando à Wired, o pesquisador de segurança da Malwarebytes, Thomas Reed, afirmou que embora a extensão não fosse exatamente inovadora, o assunto traz peso suficiente para que especialistas tenham ciência de que novos malwares não estão “chegando”, mas sim que já estão presentes.
“Era algo definitivamente inevitável – compilar [um novo malware] para o [processador] M1 pode ser tão simples como mudar um botão nos ajustes de um projeto de software”, disse Reed. “E, honestamente, não estou nem um pouco surpreso que tenha aparecido primeiro na linha ‘Pirrit’. Essa é uma das famílias mais ativas de adware para Macs, além de uma das mais antigas, e ela está constantemente mudando para evitar ser detectada”.
Velocidade de adaptação é preocupante
“Ver um malware fazer a transição da Intel para o M1 tão rapidamente é preocupante”, disse Tony Lambert, um pesquisador da Red Canary. “As ferramentas de segurança não estão prontas para lidar com isso. A comunidade de segurança ainda não tem as assinaturas necessárias para detectar essas ameaças, já que elas nunca foram observadas antes”.
O que Lambert está dizendo é que, normalmente, há um atraso na detecção de vírus e malwares por ferramentas de proteção, simplesmente porque elas procuram assinaturas – “impressões digitais” – para registrar aquela ameaça e identificá-la rapidamente em ataques futuros.
É, mais ou menos, como funciona uma vacina: um imunizante injeta uma versão ineficaz de um vírus, para que o nosso sistema imunológico “treine” sua percepção e possa agir rapidamente quando encontrar um ataque real.
Entretanto, essas mudanças voltadas ao processador M1 da Apple fazem com que malwares possam passar despercebidos ou, com sorte, serem detectados de forma mais demorada. Wardle, por exemplo, disse que a extensão GoSearch22 contava com algumas ferramentas para evitar identificação, como o uso de lógica para evitar ferramentas de escaneamento.
Segundo ele, uma varredura feita pela suíte VirusTotal facilmente encontrou a versão da extensão para a arquitetura x86 (Intel), mas houve uma queda de 15% no volume de detecção da mesma extensão, quando desenhada para atacar o processador M1.
Por ora, a percepção dos pesquisadores é a de que as ameaças encontradas não precisam de nenhuma ação imediata – um adware nada mais é do que uma aplicação que exibe anúncios publicitários em massa, sem o desejo ou permissão do usuário. Mas essa adaptabilidade pode ser aplicada para outros tipos de ataque, e isso, sinalizam os especialistas, é bastante preocupante.
Fonte: Wired