إنه معلم مشكوك فيه ، لكنه أول جزء من البرامج الضارة المصممة للعمل على Apple الجديد معالج M1 تم العثور على.

البرنامج الضار ، المسمى GoSearch 22 ، عبارة عن برامج إعلانية تخطف نتائج بحث المتصفح ، وتضخ الإعلانات ، وربما تسرق البيانات أيضًا. غالبًا ما يأتي مرفقًا سرا مع برامج مجانية عبر الإنترنت. في الوقت الحالي ، تم حظر تثبيته على أحدث إصدارات macOS ، ومع ذلك قد يتغير ذلك.

  • يمكن لأي شخص اختراق جهاز Mac الخاص بك إلا إذا قمت بتصحيحه الآن - وإليك الطريقة
  • ال أفضل مضاد فيروسات ماك البرامج
  • زائد: لقد سرق Windows 10 للتو أفضل ميزة لنظام التشغيل macOS - ولكن هناك مشكلة

عُرف GoSearch 22 منذ شهرين ، ولكن حتى باحث أمان Mac مستقل باتريك واردل ألقينا نظرة على الكود الخاص به ، ولم يكن من الواضح أنه تم إنشاء إصدار ثان ليعمل محليًا على معالج M1.

كتب واردل في منشور بالمدونة في نهاية الأسبوع الماضي: "اعتقدت أنه سيكون من المنطقي (في النهاية) أن نرى برامج ضارة مصممة للتنفيذ محليًا على أنظمة Apple M1 الجديدة". "انضم مؤلفو البرامج الضارة الآن إلى صفوف المطورين (الذين يعيدون) تجميع التعليمات البرمجية الخاصة بهم إلى ARM64 للحصول على توافق ثنائي أصلي مع أحدث أجهزة Apple."

ثنائيات الدهون

الأخيرة ماك بوك اير, ماك بوك برو و ماك ميني استخدم شريحة M1 ، التي تستند إلى بنية ARM64. إنه تصميم مختلف تمامًا عن معالجات Intel x86-64 التي تستخدمها أجهزة Mac السابقة.

بدلاً من ذلك ، ترتبط M1 ارتباطًا وثيقًا بشرائح A13 و A14 المستخدمة في أحدث أجهزة iPhone و iPad ، وبشكل أكثر بعدًا مع الشرائح المستخدمة على أجهزة Android وعلى أجهزة iPhone السابقة.

سيتم ترجمة معظم برامج Mac المكتوبة لرقائق Intel بواسطة macOS Big Sur للتشغيل على شريحة M1. لكنها لن تعمل بالسرعة التي يعمل بها البرنامج المكتوب أصلاً لـ M1.

هذا هو السبب في أن مطوري Mac يسعون جاهدين لتضمين التعليمات البرمجية المصممة لكل من معماريات الرقاقة في البرامج ، مما يؤدي إلى تطبيقات "دهنية" أو "متعددة المعمار" تحتوي على مجموعتين كاملتين من البرامج الثنائية البيانات. سيحدد MacOS المجموعة المناسبة لهذا الجهاز المعين.

إبرة في كومة قش

تساءل واردل عما إذا كانت أي برامج ضارة معروفة تستخدم سرًا ثنائيات الدهون التي لم يتم رصدها بعد. لذلك بحث في الإنترنت فايروس توتال قاعدة بيانات للبرامج الضارة التي تفي بجميع المعلمات الصحيحة.

من بين أشياء أخرى ، كان يجب كتابتها لنظام التشغيل macOS أو iOS ، وتحتوي على تعليمات ARM64 ، وتدعم أكثر من شريحة واحدة معمارية ، يجب "توقيعها" رقميًا بواسطة مطور Apple واكتشافها كبرنامج ضار بواسطة اثنين على الأقل من برامج مكافحة الفيروسات المحركات.

لقد حصل على أكثر من 200 نتيجة ، ولكن معظمها كان مخصصًا لبرامج كسر الحماية لنظام iOS الذي تم تصميمه للعمل على كل من شرائح iPhone / iPad الأقدم والأحدث.

برزت نتيجة واحدة: GoSearch22. إنه اشتقاق من الأقدم ادواري بيرت، تم رصده لأول مرة في عام 2016 ولا يزال يعاني من أجهزة Mac. وهو عبارة عن ثنائي سمين يحتوي على رمز لكل من شرائح x86-64 و ARM64 ، مما يشير إلى أنه تم إنشاؤه للتشغيل على أجهزة Mac بدلاً من أجهزة iOS.

قال واردل لورنزو فرانشيسكي-بيتشيراي من Motherboard: "يبدو الأمر وكأنه برنامج إعلاني فانيليا إلى حد ما". "يبدو أن هدفها الرئيسي وهدفها مرتبطًا بالمكاسب المالية من خلال الإعلانات ونتائج البحث وما إلى ذلك."

واحد على الإنترنت دليل إزالة البرامج الضارة يلاحظ أن GoSearch22 يشبه البرامج الإعلانية التي "تميل إلى أن تكون مصممة لجمع بيانات التصفح" وقد تعرض إعلانات يمكنها "تنزيل و / أو تثبيت تطبيقات غير مرغوب فيها عن طريق تنفيذ نصوص برمجية معينة."

هذا بالتأكيد مصدر قلق. ولكن لا يوجد دليل حتى الآن على أن GoSearch22 يسرق البيانات أو يؤدي إلى تثبيت المزيد من البرامج الضارة على أجهزة Mac. ومع ذلك ، فأنت تريد التأكد من أنه ليس على جهاز Mac الخاص بك.

من الصعب تحديد الموقع.

ما يثير القلق أكثر هو أنه في حين أن العديد من ملفات أفضل مضاد فيروسات ماك تلتقط البرامج الإصدار العادي من GoSearch22 ، ويكتشف عدد أقل من الإصدار المشفر M1. قام Wardle بتحميل عينات من كل من VirusTotal ، وحتى كتابة هذه السطور ، 16 محرك مضاد للفيروسات اشتعلت الإصدار x86-64 ، 14 ARM64 واحد.

كتب واردل: "فشلت العديد من محركات AV الرائدة في الصناعة (التي اكتشفت بسهولة إصدار x86_64) في وضع علامة على ملف arm64 الثنائي الضار".

يجب أن تكون جميع البرامج التي تعمل على macOS Big Sur موقعة رقمياً من قبل مطور برامج Apple المسجل. هذا لا يمنع تثبيت البرامج الضارة - من السهل شراء معرف المطور أو سرقته - ولكن هذا يعني أن Apple يمكنها إبطال شهادة المطور ، مما يحظر البرنامج بشكل فعال.

هذا ما فعلته Apple باستخدام برامج الإعلانات GoSearch22. في الوقت الحالي ، أنت في مأمن منه في Big Sur ، لكن هذا قد يتغير.

كتب واردل في تدوينة على مدونته: "نظرًا لأن Apple قد ألغت الشهادة ، فلن يعمل التطبيق الضار على macOS (ما لم يعيد المهاجمون التوقيع عليها بشهادة أخرى بالطبع)".

كيفية تجنب الإصابة عن طريق GoSearch22

لمنع الإصابة ببرامج Mac الضارة من أي نوع ، انتبه جيدًا لمربعات الحوار المنبثقة على شاشتك. تحتاج جميع عمليات تثبيت البرامج على أجهزة Mac إلى إذنك للمتابعة ، ولكن يمكن إخفاء مربعات الحوار هذه لتبدو وكأنها تطلب أشياء أخرى.

إذا كان جهاز Mac الخاص بك يطلب شيئًا لا علاقة له بما تفعله بالفعل في الوقت الحالي ، فاحذر.

ستحتاج أيضًا إلى تجنب تنزيل التطبيقات العشوائية مباشرة من الإنترنت لأنها قد تحتوي على برامج إعلانية أو برامج ضارة مجمعة سراً والتي ستحاول تثبيتها أيضًا.

سيتم حظر العديد من هذه التطبيقات بسبب عدم وجود توقيع مطور Apple ، ولكن كما يمكننا أن نرى من خلال GoSearch22 ، فإن بعضًا منها على الأقل يمر.

ستحتاج أيضًا إلى تثبيت برنامج مكافحة فيروسات Mac وتشغيله. ستنشئ طبقة أخرى من الحماية للقبض على الأشياء التي قد تمر عبر دفاعات Apple المدمجة.

ضع في اعتبارك أن مطوري البرامج الضارة ، بغض النظر عن النظام الأساسي الذي يصممون البرامج من أجله ، يحاولون دائمًا البقاء عدة خطوات في المقدمة.

كتب واردل: "تستمر الشفرة الخبيثة في التطور كاستجابة مباشرة لتغييرات كل من الأجهزة والبرامج الصادرة عن كوبرتينو". "هناك عدد لا يحصى من الفوائد لتوزيع ثنائيات ARM64 الأصلية ، فلماذا يقاوم مؤلفو البرامج الضارة؟"

  • زائد: هذا ال أفضل VPN لنظام Mac للحفاظ على التصفح آمنًا

احصل على وصول فوري إلى الأخبار العاجلة وأحدث المراجعات والصفقات الرائعة والنصائح المفيدة.

شكرًا لك على الاشتراك في دليل Tom. سوف تتلقى رسالة بريد إلكتروني للتحقق قريبا.

كان هناك مشكلة. يرجى تحديث الصفحة وحاول مرة أخرى.

لا بريد مزعج ، نحن نعد. يمكنك إلغاء الاشتراك في أي وقت ولن نشارك بياناتك مطلقًا دون إذنك.