在30k Mac上发现新的恶意软件后,安全专家陷入困境

2021-02-21 07:50:40

在全球近30,000台Mac上发现的以前未被发现的恶意软件正在引起安全界的关注,安全界仍在努力准确地了解其功能以及其自毁功能的作用。

每小时一次,被感染的Mac会检查控制服务器,以查看恶意软件是否应运行任何新命令或执行二进制文件。但是,到目前为止,研究人员尚未观察到在30,000台被感染的计算机上传送任何有效负载的情况,从而使该恶意软件的最终目标未知。缺少最终的有效负载表明,一旦遇到未知条件,恶意软件便会立即采取行动。

同样令人好奇的是,该恶意软件带有一种可以完全删除自身的机制,该功能通常保留给高隐身操作。但是,到目前为止,还没有迹象表明使用了自毁功能,从而提出了为什么存在该机制的问题。

除了这些问题之外,该恶意软件还值得注意的是,该版本可在Apple于11月推出的M1芯片上本地运行,从而使其成为第二个已知的macOS恶意软件。恶意二进制文件仍然更加神秘,因为它使用macOS Installer JavaScript API执行命令。这使得很难分析安装软件包的内容或软件包使用JavaScript命令的方式。

该恶意软件已在153个国家/地区发现,检测范围集中在美国,英国,加拿大,法国和德国。它对Amazon Web Services和Akamai内容交付网络的使用确保了命令基础架构可靠地工作,并且也使得对服务器的锁定更加困难。发现恶意软件的安全公司Red Canary的研究人员将其称为Silver Sparrow。

“尽管我们还没有观察到Silver Sparrow可以提供其他恶意负载,但其前瞻性的M1芯片兼容性,全球覆盖范围,相对较高的感染率以及运营成熟度表明Silver Sparrow是相当严重的威胁,具有独特的定位,可以提供潜在的影响马上就会收到有效载荷,”红金丝雀的研究人员在周五发布的博客文章中写道。 “鉴于这些令人担忧的原因,本着透明的精神,我们希望尽早与更广泛的信息安全行业共享我们所知道的一切。”

Silver Sparrow有两种版本-一种是针对Intel x86_64处理器编译的马赫对象格式的二进制文件,另一种针对M1的Mach-O二进制文件。下图提供了两个版本的高级概述:

到目前为止,研究人员还没有看到任何一种二进制文件能做任何事情,因此促使研究人员将它们称为“旁观者二进制文件”。奇怪的是,x86_64二进制文件在执行时显示单词“ Hello World!”。而M1二进制文件显示为“您做到了!”研究人员怀疑这些文件是占位符,从而为安装程序提供了一些在JavaScript执行之外分发内容的功能。 Apple已撤销这两个旁观者二进制文件的开发人员证书。

Silver Sparrow只是第二种恶意软件,其中包含可在Apple的新型M1芯片上本地运行的代码。本周早些时候报道的广告软件样本是第一个。与x86_64代码相比,本机M1代码在新平台上的运行速度和可靠性更高,因为前者无需在执行之前进行翻译。许多使用合法macOS应用程序的开发人员仍未完成为M1重新编译其代码的过程。 Silver Sparrow的M1版本表明其开发人员处于领先地位。安装完成后,Silver Sparrow会搜索从安装程序包下载的URL,因此恶意软件操作员很可能会知道哪个分发渠道最成功。在这方面,Silver Sparrow类似于以前看到的macOS广告软件。尚不清楚确切如何,在何处分发恶意软件或如何安装恶意软件。不过,URL检查表明恶意搜索结果可能至少是一个分发渠道,在这种情况下,安装程序可能会冒充合法应用程序。

Silver Sparrow最令人印象深刻的事情是它感染了Mac。 Red Canary的研究人员与Malwarebytes的同行合作,后者的小组发现截至周三,Silver Sparrow已安装在29,139个macOS端点上。这是一项重大成就。

“对我而言,最值得注意的是,它是在将近30K的macOS端点上发现的……而这些只是MalwareBytes可以看到的端点,因此该数字可能更高,” macOS安全专家Patrick Wardle说道,在Internet邮件中写道。 “这相当普遍……并且再次表明,尽管苹果竭尽全力,macOS恶意软件仍变得越来越普遍和普遍。”

对于那些想检查自己的Mac是否已被感染的人,Red Canary在报告末尾提供了危害指标。