Apple silicon długo nie musiał czekać na swój pierwszy malware, a nawet dwa. Ujawniono właśnie, że ktoś zadał sobie wiele trudu, aby stworzyć dedykowanego na procesory Apple szkodnika, nad którego przeznaczeniem głowią się eksperci bezpieczeństwa IT.
Silver Sparrow: Nie wiadomo co robi, ale potrafi zacierać ślady
Według danych dostarczonych przez Malwarebytes Silver Sparrow zainfekował 29 139 komputerów z macOS dla Apple Silicon w 153 krajach w tym dużą liczbę w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Francji i Niemczech (dane na 17 lutego).
Raz na godzinę zainfekowane komputery Mac sprawdzają serwer kontrolujący, czy nie pojawiły się nowe polecenia, które złośliwe oprogramowanie powinno uruchomić lub pliki binarne do wykonania na komputerze. Do tej pory badacze nie zaobserwowali jednak dostarczenia żadnego ładunku, czy polecenia na żadnym z 30 000 zainfekowanych komputerów, co sprawia, że ostateczny cel złośliwego oprogramowania pozostaje nieznany. Brak poleceń sugeruje, że złośliwe oprogramowanie może zacząć działać po zaistnieniu nieznanego warunku.
Ciekawostką jest również fakt, że złośliwe oprogramowanie posiada mechanizm pozwalający na całkowite samodzielne usunięcie go z systemu i zatarcie śladów, co zazwyczaj zarezerwowane jest dla operacji typu high-stealth. Jak dotąd nie ma żadnych oznak użycia funkcji autodestrukcji, co rodzi pytanie, po co ten mechanizm istnieje i kiedy może zostać użyty.
To nie koniec zagadek. Złośliwe oprogramowanie jest godne uwagi ze względu na wersję, która działa natywnie na chipie M1. Jak wiecie, jest on dostępny dopiero od listopada. To dopiero drugie znane złośliwe oprogramowanie macOS dla procesorów Apple. Złośliwa binarka jest jeszcze bardziej tajemnicza, ponieważ wykorzystuje do wykonywania poleceń, API macOS Installer JavaScript. To sprawia, że trudno jest przeanalizować zawartość pakietu instalacyjnego lub poznać sposób, w jaki pakiet używa poleceń JavaScript.
Więcej informacji o tej paskudzie znajdziecie na ArsTechnica oraz na blogu analityka bezpieczeństwa IT Red Canary.
jak doszło to tego, na co uważać? czego nie instalować?
z tego co doczytałem i dobrze zrozumiałem musisz pobrać konkretny plik instalacyjny i to w zależności czy masz Macbooka na intelu czy na M1. Do końca nie wiadomo w jaki sposób pobierasz ten syf jednak dużym prawdopodobieństwem jest, że poprzez „kliknięcie” na reklamę. Na blogu tego analityka jest opisane w jaki sposób sprawdzić sobie czy nie posiadasz tego go..na ( poprzez konkretne procesy )… no chyba, że jesteś w stanie odnaleźć sobie te pliki wykonywalne: updater.pkg ( intel ) lub update.pkg ( intel i M1 )…
Red Canary to nazwa grupy, zajmującej się bezpieczeństwem IT, a nie imię i nazwisko analityka…