Cibercriminosos não perdem tempo e já desenvolvem malwares para o chip Apple M1

É como os profissionais do segmento costumam dizer — segurança cibernética é uma eterna corrida de gato e rato, com os “mocinhos” elaborando táticas para proteger informações e os “vilões” encontrando formas ainda mais espertas para transpor essas novas barreiras. A mais nova prova disso é que, ao que tudo indica, cibercriminosos já estão programando vírus específicos para atingir o chip M1, lançado pela Apple.

• Malware conhecido foi aprovado pela Apple para rodar em Macs
• De novo! Apple autoriza malware para instalação no macOS
• 10% dos computadores com macOS foram atacados por adware em 2019

Primeiro integrante do projeto Apple Silicon (que visa retirar processadores de arquitetura x86 de todos os gadgets da Maçã por system-on-chips de fabricação própria baseados no padrão ARM), o M1 foi apresentado no finalzinho de 2020, equipando as novas gerações do MacBook Air, MacBook Pro e Mac mini. Poderoso, o componente representa uma revolução na história da companhia, mas também causa dores de cabeça para desenvolvedores.

Isto porque os programadores precisam adaptar seus códigos para que apps e softwares sejam executados apropriadamente na nova arquitetura — ou usar um emulador chamado Rosetta 2, que resolve a situação com certa “gambiarra”. O problema é que, tal como os desenvolvedores benignos, os meliantes digitais também já começaram a adaptar seus malwares para o SoC M1, representando um risco para os donos desses iGadgets.

Quem fez a descoberta foi ninguém mais e ninguém menos do que Patrick Wardle, pesquisador famoso por sua obsessão em encontrar ameaças e vulnerabilidades no macOS. Ele identificou uma cepa customizada da GoSearch22 — extensão maliciosa para Safari que, em seu interior, esconde o adware Pirrit Mac. Uma vez tendo infectado o sistema, ele exibe anúncios em demasia (muitas vezes direcionando para sites maliciosos).

“Isso mostra que os autores de malwares estão evoluindo e se adaptando para acompanhar os hardwares e os softwares mais recentes da Apple. Pelo que eu sei, esta é a primeira vez que vimos isso”, explicou Wardle. O especialista ressalta ainda que o GoSearch22 estava assinado como uma ID de desenvolvedor da Apple, o que significa que o criminoso conseguiu se cadastrar como um desenvolvedor comum. O certificado já foi revogado.

Em entrevista à WIRED, Thomas Reed, pesquisador da Malwarebytes, afirmou que tal ação criminosa seria “inevitável”, já que não é tão difícil adaptar softwares para o M1. “Honestamente, não estou surpreso com o fato de que isso aconteceu primeiro com o Pirrit. Essa é uma das famílias de adware para macOS mais ativas e antigas, e elas estão mudando constantemente para evitar a detecção”, comenta.

Muito rápido para agir

Mais preocupante ainda é o fato de que a cepa customizada para o chip M1 é mais difícil de detectar. Pesquisadores costumam utilizam a plataforma VirusTotal (uma espécie de central de bibliotecas com assinaturas de malwares oriundas de vários antivírus), e, segundo Wardle, embora o serviço consiga identificar a versão do GoSearch22 para processadores x86 com facilidade, há uma queda de 15% na detecção da edição atualizada.

“Certas ferramentas de defesa, como mecanismos de antivírus, fazem um grande esforço para processar esse 'novo' formato de arquivo binário. Eles podem detectar facilmente a versão Intel x86, mas falharam em detectar a versão ARM M1, embora o código seja logicamente idêntico”, explica Wardle. Isso significa que, na prática, o antivírus instalado em seu Mac também terá dificuldades para identificar esses novos malwares.

Para Tony Lambert, analista de inteligência da Red Canary, este é um momento de muita atenção, já que a transição rápida da arquitetura Intel para a ARM foi muito rápida e “a comunidade de segurança ainda não possui assinaturas para detectar essas ameaças”. Customizar antivírus para garantir uma taxa de detecção maior também é um processo complicado, já que qualquer código mal interpretado pode ter o efeito reverso.

“O M1 tem apenas alguns meses de vida e os fornecedores de segurança precisam desenvolver softwares com cuidado, já que eles não podem permitir que as ferramentas interrompam os sistemas do cliente. Esses fornecedores de segurança costumam ficar um pouco para trás até que seu software tenha um histórico razoável de mudanças em novas tecnologias”, conclui Lambert.

Fonte: WIRED