Вредоносное ПО, обнаруженное почти на 30 000 компьютеров Mac по всему миру, обе6спокоило специалистов по кибер безопасности, которые все еще пытаются понять, что именно оно делает и для каких целей служит его способность к самоуничтожению.
Раз в час зараженные Mac проверяют сервер управления, чтобы узнать, есть ли какие-либо новые команды или исполняемые файлы, которые вредоносная программа должна запускать. Однако до сих пор специалисты не наблюдали доставки какой-либо полезной нагрузки ни на один из 30 000 зараженных компьютеров, поэтому конечная цель вредоносного ПО остается неизвестной. Отсутствие окончательной полезной нагрузки предполагает, что вредоносная программа может начать действовать при выполнении неизвестного условия.
Также любопытно, что вредоносная программа имеет механизм полного удаления, который обычно зарезервирован для операций с высокой степенью скрытности. Однако пока нет никаких признаков того, что функция самоуничтожения использовалась, что поднимает вопрос, почему этот механизм существует.
Помимо всего прочего, вредоносная программа изначально работает на чипе M1, который Apple представила в ноябре. Это второй случай выявления вредоносного ПО для macOS, на чипе М1. Вредоносный двоичный файл еще более загадочен, поскольку он использует JavaScript API установщика macOS для выполнения команд. Это затрудняет анализ содержимого установочного пакета или того, как пакет использует команды JavaScript.
Вредоносное ПО было обнаружено в 153 странах, наибольшлее количество выявлено в в США, Великобритании, Канаде, Франции и Германии. Использование Amazon Web Services и сети доставки контента Akamai обеспечивает надежную работу командной инфраструктуры, а также усложняет блокировку серверов.
Специалисты из Red Canary, охранной фирмы, обнаружившей вредоносное ПО называют его Silver Sparrow
Достаточно серьезная угроза
«Хотя мы еще не наблюдали, как Silver Sparrow поставляет дополнительные вредоносные полезные нагрузки, его перспективная совместимость с чипом M1, глобальный охват, относительно высокий уровень заражения и операционная зрелость предполагают, что Silver Sparrow представляет собой достаточно серьезную угрозу, имеющую уникальные возможности для создания потенциально эффективных полезных нагрузок в любой момент » - опубликовали на своем блоге специалисты Red Canary.
«Принимая во внимание эти причины для беспокойства, в духе прозрачности мы хотели поделиться всем, что мы знаем, с более широкой отраслью информационной безопасности как можно раньше».
Silver Sparrow имеет 2 версии: одна с двоичным файлом формате mach-object, скомпилированным для процессоров Intel x86_64, а другая двоичным файлом Mach-O для M1. На изображении ниже представлен общий обзор двух версий:
До сих пор специалисты не видели, чтобы какие-либо двоичные файлы что-либо делали, что побудило называть их «случайными двоичными файлами». Любопытно, что при запуске двоичный файл x86_64 отображает слова «Hello World!» а двоичный файл M1 гласит: «You did it!» Специалисты подозревают, что файлы являются заполнителями, чтобы дать установщику возможность распространять контент за пределами выполнения JavaScript.
Apple отозвала сертификат разработчика для обоих двоичных файлов сторонних наблюдателей.
Silver Sparrow - это лишь вторая вредоносная программа, содержащая код, изначально работающий на новом чипе Apple M1.
После установки Silver Sparrow ищет URL-адрес, с которого был загружен установочный пакет, скорее всего, чтобы операторы вредоносных программ знали, какие каналы распространения наиболее успешны. В этом отношении Silver Sparrow напоминает ранее использовавшееся рекламное ПО для macOS. Остается неясным, как и где вредоносное ПО распространяется и как оно устанавливается. Однако проверка URL предполагает, что вредоносные результаты поиска могут быть по крайней мере одним каналом распространения, и в этом случае установщики, скорее всего, будут выдавать себя за нормальные приложения.
Среди наиболее впечатляющих особенностей Silver Sparrow - количество зараженных компьютеров Mac. Специалисты Red Canary работали со своими коллегами из Malwarebytes, и последняя группа обнаружила, что Silver Sparrow установлен на 29 139 конечных точках macOS по состоянию на 17 февраля 2021 года. Это довольно внушительная цифра.
