İlk M1 kötü amaçlı yazılımıyla ilgili haberleri, uzun süredir devam eden Pirrit virüsünün M1 yerel sürümü olan GoSearch22.app’in varlığını ortaya çıkaran eski NSA araştırmacısı ve uzun süredir Mac güvenlik araştırmacısı olan Patrick Wardle duyurdu. Wardle bir blog gönderisinde, “Kötü niyetli aktörlerin çok mimarili uygulamalar geliştirdiklerini doğruladık. Bu da saldırganların kodlarının yerel olarak M1 sistemlerinde çalışacağını gösteriyor. Kötü amaçlı GoSearch22 uygulaması, bu tür yerel M1 uyumlu kodların ilk örneği olabilir.” dedi.
Wardle, kullanıcılara pop-up’lar ve reklamlarla spam gönderen kötü amaçlı reklam yazılımının, 23 Kasım’da bir Apple geliştirici kimliği ile imzalandığını belirtti. Bir geliştirici kimliğine sahip olmak, kötü amaçlı yazılımı indiren bir kullanıcıya sahip olmanın macOS’ta Gatekeeper’ı harekete geçirmeyeceği anlamına geliyor. Bu da kullanıcıları, indirmek üzere oldukları bir uygulamanın güvenli olmayabileceğini gösteriyor.
Wardle ayrıca, Pirrit virüsünün Intel sürümlerini tespit edebilecek bir dizi mevcut antivirüs sisteminin M1 sürümünü tanımlayamadığını da söylüyor. Wardle, “Antivirüs motorları gibi bazı savunma araçları, bu yeni ikili dosya biçimini işlemekte zorlanıyor. Araçlar, Intel-x86 sürümünü kolayca algılayabiliyor ancak kod mantıksal olarak aynı olsa bile ARM-M1 sürümünü algılayamıyor.” diyor. Wardle’ın bulgularına henüz yanıt vermeyen Apple ise GoSearch22 adlı kötü amaçlı yazılım kimliğini iptal etti.
Bilgisayar korsanları genellikle kazançlı hedeflerden yararlanmaya çalıştıkları için ilk M1 kötü amaçlı yazılım beklenenden erken geldi. Kasım ayında tanıtılan ARM tabanlı yonga, şu anda MacBook Air, MacBook Pro ve Mac mini’nin en yeni modelleriyle sınırlı.
Bir Apple Silicon Mac’e sahip olan birkaç kişi için GoSearch22 tehdidi çok tehlikeli görünmese de bu durum, ufukta daha fazla M1 odaklı kötü amaçlı yazılım olduğunun bir işareti.