安全公司 Red Canary 最近在 MacOS 上发现一种新型的恶意软件。
该软件已感染了全球近 30000 台 Mac,其中不乏 Apple 最新 M1 芯片机型!
Red Canary 把这款恶意软体称之为「Silver Sparrow」,并且发现它的代码相当成熟,而且具有很强的感染力。
特别的是它透过 MacOS Installer JavaScript API 执行指令,是从未被其他已知 MacOS 恶意软体所采用的途径。
Silver Sparrow 目前已知有两个版本,第一版经分析只显示「Hello, World!」的字样,第二版则是写著「You did it!」。
但奇怪的是,目前 Red Canary 还未发现 Silver Sparrow 除了埋伏在 mac 以外还会进行其他的有害动作,也不清楚它的最终目标是什么,不过似乎还具备一种触发条件未明的自毁机制。
目前这也是第二款已知有特别针对 Apple M1 芯片设计的恶意软件。
该恶意软件已经在153个国家被发现,主要集中在美国、英国、加拿大、法国和德国。
它使用了亚马逊网络服务和 Akamai 内容传递网路服务,确保了指令基础设施的可靠运行,同时也使得安全专家不能通过关闭服务器来阻止其传播。
01相当严重的威胁
“虽然我们还没有观察到「Silver Sparrow」造成了额外的恶意载荷,但它超前的 M1芯片兼容性、全球覆盖率、相对较高的感染率以及运行成熟度表明,「Silver Sparrow」是一个相当严重的威胁,处于独特的位置,可以在一瞬间发射具有潜在影响力的有效载荷”。
Red Canary 研究人员在周五发表的一篇博客文章中写道。“鉴于这些令人担忧的原因,本着透明的精神,我们希望尽快与更广泛的信息安全行业分享我们所知道的一切。”
Silver Sparrow 有两个版本,一个是为 Intel x86_64 处理器编译的 Mach-Object 格式二进制文件,另一个是为 M1 编译的 Mach-O 二进制文件。下面的图片提供了两个版本的概述:
到目前为止,研究人员还没有发现这两种二进制文件有多大作用,因此研究人员称它们为“旁观者二进制”,奇怪的是,在执行时,x86 _ 64 二进制文件显示「Hello, World!」,而 M1二进制显示的是「You did it!」”。
研究人员怀疑这些文件是占位符,是为了给安装程序提供一些东西,以便在 JavaScript 执行之外分发内容。苹果已经撤销了这两个“旁观者二进制”文件的开发者证书。
Silver Sparrow 是第二个能在苹果新推出的M1芯片上运行代码的恶意软件。本周早些时候报道的一个恶意软件是第一个。
Silver Sparrow 在M1上比x86_64代码运行得更快、更可靠,因为前者在执行之前不需要进行转换。
许多合法的MacOS应用程序的开发人员仍然没有完成为M1重新编译代码,创造 Silver Sparrow 的的开发者显然走在了潮流的前面。
安装完成后,Silver Sparrow 会搜索安装包下载的 URL,这样恶意软件就能知道哪个传播是最成功的。在这方面,Silver Sparrow 类似于以前见过的 MacOS 广告软件。
目前尚不清楚这些恶意软件究竟是如何传播的,又是在哪里传播的,或者它们是如何安装的。
网址检查表明,恶意搜索至少是其中一个可能的传播渠道,在这种情况下,安装者可能会伪装成合法的应用程序。
关于 Silver Sparrow 最令人印象深刻的事情是它感染的 Mac 数量。Red Canary 的研究人员与他们在 Malwarebytes 的同行一起工作,后一组人员发现截至周三, Silver Sparrow 安装在 29139 个 MacOS 终端上。
MacOS 安全专家帕特里克•沃德尔(Patrick Wardle)写道:“对我来说,最值得注意的是,它是在近30000 台 MacOS 终端上发现的... ... 而这些终端只是 MalwareBytes 能看到的部分,因此实际这个数字可能要高得多。”
“这种情况相当普遍... ... 也再次表明,尽管苹果尽了最大努力,MacOS 恶意软件正变得越来越普遍和常见。”
对于那些想要检查他们的 Mac 是否被感染的人,Red Canary 在其报告的最后提供了危险指示器。