Mój Mac

Kategorie Aktualności

Tajemnicze złośliwe oprogramowanie zainfekowało 30 000 Maców z M1

Apple silicon długo nie musiał czekać na swój pierwszy malware, a nawet dwa. Ujawniono właśnie, że ktoś zadał sobie wiele trudu, aby stworzyć dedykowanego na procesory Apple szkodnika, nad którego przeznaczeniem głowią się eksperci bezpieczeństwa IT.

Silver Sparrow: Nie wiadomo co robi, ale potrafi zacierać ślady

Według danych dostarczonych przez Malwarebytes Silver Sparrow zainfekował 29 139 komputerów z macOS dla Apple Silicon w 153 krajach w tym dużą liczbę w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Francji i Niemczech (dane na 17 lutego).

Raz na godzinę zainfekowane komputery Mac sprawdzają serwer kontrolujący, czy nie pojawiły się nowe polecenia, które złośliwe oprogramowanie powinno uruchomić lub pliki binarne do wykonania na komputerze. Do tej pory badacze nie zaobserwowali jednak dostarczenia żadnego ładunku, czy polecenia na żadnym z 30 000 zainfekowanych komputerów, co sprawia, że ostateczny cel złośliwego oprogramowania pozostaje nieznany. Brak poleceń sugeruje, że złośliwe oprogramowanie może zacząć działać po zaistnieniu nieznanego warunku.

Ciekawostką jest również fakt, że złośliwe oprogramowanie posiada mechanizm pozwalający na całkowite samodzielne usunięcie go z systemu i zatarcie śladów, co zazwyczaj zarezerwowane jest dla operacji typu high-stealth. Jak dotąd nie ma żadnych oznak użycia funkcji autodestrukcji, co rodzi pytanie, po co ten mechanizm istnieje i kiedy może zostać użyty.

To nie koniec zagadek. Złośliwe oprogramowanie jest godne uwagi ze względu na wersję, która działa natywnie na chipie M1. Jak wiecie, jest on dostępny dopiero od listopada. To dopiero drugie znane złośliwe oprogramowanie macOS dla procesorów Apple. Złośliwa binarka jest jeszcze bardziej tajemnicza, ponieważ wykorzystuje do wykonywania poleceń, API macOS Installer JavaScript. To sprawia, że trudno jest przeanalizować zawartość pakietu instalacyjnego lub poznać sposób, w jaki pakiet używa poleceń JavaScript.

Więcej informacji o tej paskudzie znajdziecie na ArsTechnica oraz na blogu analityka bezpieczeństwa IT Red Canary.

Jaromir Kopp

Użytkownik komputerów Apple od 1991 roku. Dziennikarz technologiczny, programista i deweloper HomeKit. Propagator przyjaznej i dostępnej technologii. Lubi programować w Swift i czystym C. Tworzy rozwiązania FileMaker. Prowadzi zajęcia z IT i programowania dla dzieci oraz młodzieży, szkoli też seniorów. Współautor serii książek o macOS wydanych przez ProstePoradniki.pl. Projektuje, programuje oraz samodzielnie wykonuje prototypy urządzeń Smart Home. Jeździ rowerem.