研究人员发现了第一批Mac恶意软件，该恶意软件似乎是专门为使用Apple最近推出的M1芯片的设备而创建的。

该恶意软件是由专门研究Apple产品的网络安全研究员Patrick Wardle发现的。Wardle开发了几种针对Mac的免费和开源安全工具，并提出了寻找旨在在M1系统上本地运行的恶意软件的想法，同时重建了其与M1本地兼容性的工具。

苹果于2020年11月推出了M1片上系统（SoC），旨在提高性能和更好的安全性，这家总部位于加利福尼亚州库比蒂诺的科技巨头声称其内置了深层的安全保护功能。代码执行架构。

M1芯片使用arm64 CPU架构，专门为由M1驱动的Mac开发的应用程序包含arm64代码。Wardle在Google的VirusTotal恶意软件分析服务中搜索了此类样本，并发现了一个名为GoSearch22的应用，该应用原来是Pirrit的变体，Pirrit是一款已经存在多年的广告软件。

由研究人员发现的，于2020年12月下旬提交的样品已与Apple开发人员ID签名，并且显然是在野外发现的。专为M1系统开发的广告软件变体旨在将其自身安装为Safari扩展，并包装了各种抗分析功能。

Wardle进行的一项小型实验还表明，与x86_64二进制文件相比，静态分析工具和反恶意软件引擎在分析和检测arm64恶意软件时可能会遇到麻烦。

“ Apple的新型M1系统提供了无数的好处，并且本地编译的arm64代码运行得非常快。今天，我们强调了一个事实，即恶意软件作者现在已经加入了开发人员的队伍……（将其代码重新编译为arm64，以获得与Apple最新硬件的本地二进制兼容性，” Wardle在博客文章中说。

网络安全公司Malwarebytes的Mac＆Mobile主管Thomas Reed告诉《安全周刊》，尽管这是不可避免的，但M1原生恶意软件对于使用M1的Mac用户而言应该不是主要问题。

“作为一个行业，我们已经观察到Mac广告软件背后的犯罪分子对macOS表现出最大的适应性。Reed说：“这是Pirrit中最古老，最活跃的Mac广告软件系列之一，它们正在不断变化以逃避检测，这使我第一次在Pirrit中发生这种情况就不足为奇了。”

他补充说：“总的来说，我认为这不会在不久的将来成为一个大问题，因为防病毒软件可以检测胖二进制文件中的英特尔代码，也可以检测纯英特尔二进制文件。但是，这确实意味着我们行业需要做好准备，以防止恶意软件创建者切换到仅单一体系结构的M1二进制文件，以逃避检测。防病毒公司需要保持积极主动，并开始制定战略，以应对未来威胁的发展。”

Malwarebytes本周早些时候发布的一份报告显示，虽然2020年在消费类设备上对Mac恶意软件的检测量与去年相比下降了40％，但在企业环境中的检测量却增长了31％。