Bericht: Erste M1-Malware aufgetaucht

Seit einigen Jahren treibt eine unter dem Namen Pirrit bekannte Schadsoftware ihr Unwesen auf dem einen oder anderen Mac. Die Malware spioniert unter anderem die Nutzer aus und sorgt darüber hinaus im Browser für Umleitungen zu möglicherweise gefährlichen Webseiten. Jetzt könnte sie sich eine unrühmliche Auszeichnung verdient haben: Beobachtungen von Experten zufolge ist sie der erste Schädling, welcher nativ auf Macs mit Apple Silicon läuft.


GoSearch22 enthält M1-Variante von Pirrit
Der bekannte Sicherheitsforscher Patrick Wardle entdeckte die M1-Malware in einer App namens GoSearch22. Diese läuft nativ auf der ARM-Architektur von Apples hauseigenem Prozessor, der Mac mini M1, MacBook Air M1 und MacBook Pro M1 antreibt. Es handelt sich demzufolge nicht um einen Schädling, welcher für Intel-CPUs kompiliert ist und dank Rosetta 2 auch auf Apple Silicon ausgeführt wird. "Die Angreifer sind also jetzt dazu übergegangen, Schadsoftware für mehrere Architekturen zu erstellen", schreibt Wardle in einem Blogbeitrag auf Objective-See.

Malware-Entwickler passen sich schnell an
Der Sicherheitsforscher hält das Auftauchen der M1-Malware aus zwei Gründen für äußerst bemerkenswert. Zum einen zeige der Vorgang, dass die Entwickler von Schadsoftware sich schnell an Veränderungen anpassten, welche Apple bei Hardware und Software vornehme. Darüber hinaus habe man festgestellt, dass die in GoSearch22 enthaltene Apple-Silicon-Variante von Pirrit derzeit nur von den wenigsten statischen Virenscannern erkannt werde. Diese seien zwar in der Lage, die Intel-Version aufzuspüren, versagten aber bei der für M1 kompilierten App. Das sei sehr beunruhigend, so Wardle.

Apple widerruft Entwickler-Zertifikat
Die M1-Version von GoSearch22 und damit Pirrit wurde offenbar von einem Entwickler erstellt, welcher über ein von Apple ausgestelltes Developer-Zertifikat verfügte. Dieses hat der kalifornische Konzern mittlerweile zurückgezogen, so dass die App nicht mehr auf einem Mac ausgeführt wird. Patrick Wardle bedauert das, denn dadurch werden ihm zufolge weitere Analysen unmöglich gemacht. Man könne beispielsweise jetzt nicht mehr ergründen, ob Apple die Anwendung notarisiert habe oder der Entwickler einen Weg fand, die Sicherheitsmechanismen des Unternehmens zu umgehen. Der Sicherheitsforscher rechnet fest damit, dass bereits etliche M1-Macs mit der Malware infiziert sind.

Kommentare

tk69
tk6917.02.21 19:45
Einfach widerlich das Völckchen, die sowas entwickeln… 🤬
+8
RastaMan17.02.21 19:49
tk69

Es möchte schließlich Antiviren Software verkauft werden 🤨
+3
colouredwolf17.02.21 20:06
RastaMan
tk69

Es möchte schließlich Antiviren Software verkauft werden 🤨

Die Software von Patrick Wardle kann man sich gratis laden. Wenn man zufrieden ist, kann man ihm einen Kaffee spendieren. Oder gleich ne ganze Kanne. Oder Fass Bier.
Bei Mac-Sicherheit ist er einer der besten
+15
depeche101mode17.02.21 20:08
RastaMan

So ein Quatsch, der läuft doch unter Rosetta 2 🤓😂
0
ssb
ssb17.02.21 21:34
mich wundert nur, warum er das Binary nicht einfach neu signiert? Mit codesign -f kann man das alte Zertifikat überschreiben, dann sollte er es lokal ausführen können.
Oder entfernen - ist aber dann ein wenig aufwändiger…
0
mller17.02.21 22:25
Dieses hat der kalifornische Konzern mittlerweile zurückgezogen, so dass die App nicht mehr auf einem Mac ausgeführt wird. Patrick Wardle bedauert das, denn dadurch werden ihm zufolge weitere Analysen unmöglich gemacht.
Na da sieht man mal wie sehr er sich auskennt. Stichwort Secure Boot und System Integrity Protection. Wenn man da die richtigen Einstellungen trifft, ist es egal ob Apple signiert oder nicht. Übersetzt: Man sollte also diesem
Sicherheitsforscher
Patrick Wardle nicht so sehr Vertrauen schenken, wenn er selbst schon nicht über die Sicherheitseinstellungen vom Mac bescheid weiss.
Et is wie et is, un et kütt wie et kütt!
-4
Mecki
Mecki18.02.21 01:39
Dieses hat der kalifornische Konzern mittlerweile zurückgezogen, so dass die App nicht mehr auf einem Mac ausgeführt wird.
An alle Kritiker dieser Maßnahme: Und deswegen hat Apple die online Prüfung eingeführt. Denn es nützt nichts ein Cert zurückzuziehen, wenn das System nicht online nachprüft ob dass der Fall ist. Jetzt kann Apple in so einen Fall die Verbreitung praktisch von einer Sekunde auf die andere stoppen.
+3
Retrax18.02.21 08:49
....und was richtet die Malware jetzt exakt auf einem Mac an?
(auch eine Adware wie auf Intel?)
colouredwolf
Die Software von Patrick Wardle kann man sich gratis laden.
Er bietet ja ca. 15 Apps an. Schade, dass er die Tools nicht zu einem zusammenfasst.
0
jmh
jmh18.02.21 09:39
ob apple schon einen impftermin hat?
0
Weia
Weia18.02.21 11:08
mller
Dieses hat der kalifornische Konzern mittlerweile zurückgezogen, so dass die App nicht mehr auf einem Mac ausgeführt wird. Patrick Wardle bedauert das, denn dadurch werden ihm zufolge weitere Analysen unmöglich gemacht.
Na da sieht man mal wie sehr er sich auskennt. Stichwort Secure Boot und System Integrity Protection. Wenn man da die richtigen Einstellungen trifft, ist es egal ob Apple signiert oder nicht.
Ja, darüber bin ich auch gestolpert. Ich verstehe nicht ganz, wie das seitens Patrick Wardle gemeint ist. Weiß da jemand mehr?
Übersetzt: Man sollte also diesem
Sicherheitsforscher
Patrick Wardle nicht so sehr Vertrauen schenken, wenn er selbst schon nicht über die Sicherheitseinstellungen vom Mac bescheid weiss.
Naja, diese Übersetzung ist aber auch fehlerhaft. Darüber weiß er ganz sicher bescheid. Patrick Wardle ist eine Koryphäe auf seinem Gebiet und im Augenblick meines Wissens der renommierteste diesbezügliche Experte für den Mac, der weltweit beachtete Konferenzen zu diesem Thema veranstaltet. Dass Du den Namen offenkundig noch nie gehört hast, finde ich jetzt auch wieder seltsam.
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
+2
Weia
Weia18.02.21 13:23
Weia
mller
Dieses hat der kalifornische Konzern mittlerweile zurückgezogen, so dass die App nicht mehr auf einem Mac ausgeführt wird. Patrick Wardle bedauert das, denn dadurch werden ihm zufolge weitere Analysen unmöglich gemacht.
Na da sieht man mal wie sehr er sich auskennt. Stichwort Secure Boot und System Integrity Protection. Wenn man da die richtigen Einstellungen trifft, ist es egal ob Apple signiert oder nicht.
Ja, darüber bin ich auch gestolpert. Ich verstehe nicht ganz, wie das seitens Patrick Wardle gemeint ist. Weiß da jemand mehr?
Ich habe jetzt selbst den Blogpost von Patrick Wardle studiert und MacTechNews hat das einfach falsch übersetzt. Um die Ausführung der Software auf einem Mac geht es überhaupt nicht.

Der Punkt ist, dass Patrick Wardle gerne in Erfahrung gebracht hätte, ob die Schadsoftware auch von Apple notarisiert (und nicht nur zertifiziert) war – denn das würde ja ein interessantes Licht darauf werfen, wie sicher man sich mit einer Notarisierung fühlen kann. Ob eine Software notarisiert ist, lässt sich aber nur durch eine Abfrage auf Apples Servern herausfinden und die antworten seit der Zurücknahme des Zertifikats halt nur, dass die Software nicht einmal mehr zertifiziert ist. Daher lässt sich nun schlicht nicht mehr feststellen, ob Apple die Software zuvor auch notarisiert hatte.

mller: Also keine voreiligen Schmähungen bitte, bevor man der Sache auf den Grund gegangen ist!
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
+6
Michael Lang18.02.21 19:31
JETZT WEIß ICH ABER IMMER NOCH NICHT WAS DIE MALWARE GENAU MACHT, WIE ES (WELCHE) LÜCKE AUF DEM M1 MAC AUSNUTZT UND WECLHE ANTIVIRENSOFT DAS DING ERKENNT??

WEISS DA WER WAS?
- Das größte Maul und das kleinste Hirn,wohnen meist unter derselben Stirn. - Hermann Oscar Arno Alfred Holz, (1863 - 1929), deutscher Schriftsteller
-3
Weia
Weia18.02.21 19:53
Michael Lang
JETZT WEIß ICH ABER IMMER NOCH NICHT WAS DIE MALWARE GENAU MACHT, WIE ES (WELCHE) LÜCKE AUF DEM M1 MAC AUSNUTZT UND WECLHE ANTIVIRENSOFT DAS DING ERKENNT??

WEISS DA WER WAS?
Ja, Leute, die nicht so rumbrüllen, dass ihnen das Blut derart zu Kopf steigt, dass die Sicht verschwimmt, sind in der Lage, den MacTechNews-Artikel zu lesen und wissen daher was und wenn ihnen das nicht reicht, klicken sie auf den Artikel-Link zu dem Original-Blogbeitrag und wissen dann noch mehr.

PS: Deine Shift-Taste klemmt.

PPS: Das größte Maul und das kleinste Hirn,wohnen meist unter derselben Stirn – hmmmm …
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
-1
Michael Lang19.02.21 17:26
PS: Deine Shift-Taste klemmt.

Ja Sorry. War nicht beabsichtigt. Sollte kein "Gebrüll sein". Also bitte nicht mißverstehen, nur weil alles groß geschrieben war. Ich war eher kleinlaut als Großmäulig. War nur eine Frage....und aus meiner Sicht auch nicht unhöflich.
Aber stimmt, verlinkte Atrtiel lesen kann helfen...

Trotzdem Danke für den Wink mit dem Zaunpfahl

Ps.: nicht immer gleich wie so ein HB-Männchen unter die Decke gehen ist auch manchmal angeraten
- Das größte Maul und das kleinste Hirn,wohnen meist unter derselben Stirn. - Hermann Oscar Arno Alfred Holz, (1863 - 1929), deutscher Schriftsteller
0
Weia
Weia21.02.21 12:12
Michael Lang
Ja Sorry. War nicht beabsichtigt. Sollte kein "Gebrüll sein". Also bitte nicht mißverstehen, nur weil alles groß geschrieben war. Ich war eher kleinlaut als Großmäulig. War nur eine Frage....und aus meiner Sicht auch nicht unhöflich.
Nein, ohne Großschrift war sie das auch überhaupt nicht. Mit Großschrift aber sehr wohl (so, als sei jemand hier in der Bringschuld, Dir die Antwort auf Deine Frage mundgerecht zu servieren) und auf die Idee, das könnte unbeabsichtigt passieren, bin ich nicht gekommen. Sorry.
Ps.: nicht immer gleich wie so ein HB-Männchen unter die Decke gehen ist auch manchmal angeraten
Unter die Decke gegangen bin ich mit meiner Antwort für mein Empfinden aber wiederum auch nicht. Da ich von der Tendenz her aber eher zu denjenigen hier gehöre, an denen es läge, die vermeintliche Bringschuld einzulösen, reagiere ich auf aus meiner Sicht unangebrachte Imperative manchmal vielleicht zu abweisend. Nochmal sorry.
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
0
Michael Lang21.02.21 18:19
Kein Ding!
Alles Gut
- Das größte Maul und das kleinste Hirn,wohnen meist unter derselben Stirn. - Hermann Oscar Arno Alfred Holz, (1863 - 1929), deutscher Schriftsteller
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.