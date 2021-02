Wie Wired berichtet, wurde die erste Malware gesichtet, die speziell auf Apples M1-Chip zugeschnitten ist. In einem ausführlichen Bericht erklärt der Sicherheitsforscher Patrick Wardle, wie die Malware für M1-Macs angepasst und neu kompiliert wurde, um nativ auf dem M1-Chip zu laufen.

Erste Malware für M1-Macs

Nicht nur die regulären Software-Entwickler haben den Sprung auf Apple Silicon geschafft, sondern nun auch Ersteller von Schadsoftware. Das lässt zumindest die Forschung von Patrick Wardle vermuten. Der Mac-Sicherheitsforscher hat die erste Malware, die speziell für M1-Macs angepasst wurde, genauer untersucht.

Wardle entdeckte die erste bekannte native M1-Malware in Form einer Safari-Adware-Erweiterung, die ursprünglich für die Ausführung auf Intel x86-Chips geschrieben wurde. Die bösartige Erweiterung mit dem Namen „GoSearch22“ ist ein bekanntes Mitglied der Mac-Adware-Familie „Pirrit“ und wurde erstmals Ende Dezember entdeckt. „Pirrit“ ist eine der ältesten und aktivsten Mac-Adware-Familien und dafür bekannt, sich ständig zu verändern, um der Erkennung zu entgehen. Daher ist es nicht überraschend, dass die Schadsoftware nun für den M1 bereit ist.

Die „GoSearch22“-Adware gibt sich als legitime Safari-Browser-Erweiterung aus, sammelt jedoch Nutzerdaten und schaltet eine große Anzahl von Anzeigen wie Banner und Popups, darunter auch einige, die auf schadhafte Webseiten verweisen, um weitere Malware zu verbreiten. Wardle sagt, dass die Adware im November mit einer Apple Developer ID signiert wurde, um ihren schädlichen Inhalt zu verbergen, diese wurde jedoch inzwischen widerrufen.

Wardle merkt an, dass sich die Malware für den M1 noch in einem frühen Stadium befindet, Antiviren-Scanner sie nicht so leicht erkennen wie x86-Versionen und Abwehrwerkzeuge wie Antiviren-Engines Schwierigkeiten haben, die geänderten Dateien zu verarbeiten. Während die M1-Malware nicht ungewöhnlich oder besonders gefährlich zu sein scheint, ist das Auftauchen dieser neuen Varianten eine Warnung, dass wahrscheinlich noch mehr kommen wird. Mit der Entdeckung von „GoSearch22“ werden die Anbieter von Sicherheitssoftware wahrscheinlich zeitnah reagieren und ihre Signaturen aktualisieren.