已经发现了更多影响Apple Silicon Macs的恶意软件,但研究人员发现,目前它缺少恶意负载。
看来针对苹果基于M1的Mac的恶意软件可能比以前想象的要多。在野外发现第一批M1恶意软件的初步报告之后,似乎有更多的恶意软件感染,但种类特别少。
2月初,来自Red Canary的研究人员发现了一系列macOS恶意软件,该恶意软件使用LaunchAgent使其存在,就像某些其他形式的恶意软件一样。研究人员感兴趣的是,由于该恶意软件如何使用JavaScript来执行,因此其行为与典型的广告软件不同。
研究人员将其命名为" Silver Sparrow"。还涉及编译为与M1芯片配合使用的二进制文件。这使其成为可能针对Apple Silicon Macs的恶意软件。
VMware Carbon Black和Malwarebytes研究人员的进一步研究确定,Silver Sparrow很有可能是一种以前未被发现的恶意软件。截至2月17日,已在153个国家/地区的29,139个macOS端点中检测到该病毒,其中大部分感染发生在美国,英国,加拿大,法国和德国。
在发布之时,该恶意软件尚未用于向受害Mac传递恶意负载,尽管这种情况将来可能会改变。由于与M1兼容,因此感染率相对较高。以及该恶意软件的运行成熟度,它被认为是足够严重的威胁,具有独特的优势,可以随时发出潜在有影响力的有效负载,促进公开披露。
发现了两种版本的恶意软件,一种版本的有效负载仅包含一个仅影响基于Intel的Mac的二进制文件,而另一种则是针对Intel和M1架构编译的二进制文件。有效负载似乎是一个占位符,因为第一个版本打开了一个窗口,上面写着“你好,世界!”。第二个州"您做到了!"
如果是恶意软件,那么有效负载可能会允许相同或相似的有效负载指令从单个可执行文件影响两个体系结构。
该恶意软件的机制可以解决名为" update.pkg"的文件。和" updater.pkg,"冒充安装人员的幌子。他们利用macOS Installer JavaScript API执行可疑命令。
这种行为有时会在合法软件而非恶意软件中看到,通常会使用安装前或安装后脚本执行命令。
一旦成功,感染就会尝试检查特定URL的可下载文件,该文件可能包含更多说明或最终有效负载。监视恶意软件一周后,看不到最终可用的有效负载,将来仍可能更改。
关于银麻雀,研究人员还有许多问题无法回答。其中包括最初的PKG文件将用于感染系统的位置,以及似乎是更广泛的工具集的一部分的恶意软件代码的元素。
"该恶意软件的最终目标是一个谜,"红色金丝雀承认。 "我们无法确定是否知道恶意软件将分发什么有效载荷,是否已经交付和删除了有效载荷,或者对手是否有未来的分发时间表。
还有一个问题,就是将" Hello World"可执行文件,因为除非受害者主动搜索并运行它,否则二进制文件将不会运行,而不是自动运行。可执行文件表明这可能是开发不足的恶意软件,或者需要一个应用程序捆绑包才能使该恶意软件对其他方来说似乎合法。
AppleInsider已经提交伙伴关系,可以通过联盟链接购买的产品培训委员会。 这些伙伴关系不会影响我们的编辑内容。