Prawie 30.000 komputerów zarażonych tajemniczym Silver Sparrow.
Ciągle dużo nie wiemy o wbudowanej autodestrukcji
Wcześniej niewykryty fragment złośliwego oprogramowania znaleziony na prawie 30 000 komputerów Mac na całym świecie wywołuje liczne znaki zapytania w kręgach ekspertów od spraw bezpieczeństwa. Ciągle próbują oni dokładnie zrozumieć, co robi i czemu służy zdolność tego malware do autodestrukcji.
Raz na godzinę zainfekowane komputery Mac sprawdzają serwer kontrolny, aby sprawdzić, czy są jakieś nowe polecenia, które złośliwe oprogramowanie powinno uruchomić, lub pliki binarne do wykonania. Jak dotąd jednak naukowcy nie zaobserwowali jeszcze dostarczenia żadnego rozkazu (payload) na żadnej z 30 000 zainfekowanych maszyn, co nie oznacza, że ostateczny cel szkodliwego oprogramowania jest nieznany. Brak końcowego rozkazu sugeruje, że złośliwe oprogramowanie może zacząć działać po spełnieniu nieznanego nam jeszcze warunku.
Co ciekawe, wyposażenie malware w mechanizm umożliwiający całkowite usunięcie się z zainfekowanej maszyny jest zwykle zarezerwowane dla operacji o wysokim stopniu ukrycia. Jak dotąd jednak nic nie wskazuje na zastosowanie funkcji autodestrukcji, co nasuwa pytanie, dlaczego ten mechanizm w ogóle istnieje.
Obsługuje chip M1
Oprócz tych pytań, szkodliwe oprogramowanie wyróżnia się wersją, która działa natywnie na chipie M1. Chip ten został wprowadzony przez Apple w listopadzie 2020 roku a analizowany malware jest dopiero drugim znanym złośliwym oprogramowaniem dla macOS, który to potrafi. Złośliwy plik binarny jest jeszcze bardziej tajemniczy, ponieważ używa interfejsu API JavaScript instalatora macOS do wykonywania poleceń. Utrudnia to analizę zawartości pakietu instalacyjnego oraz sposobu, w jaki pakiet używa poleceń JavaScript.
Złośliwe oprogramowanie zostało wykryte w 153 krajach, a najwięcej infekcji odnotowano w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Francji i Niemczech. Korzystanie z Amazon Web Services i sieci dostarczania treści Akamai zapewnia cyberprzestępcom niezawodne działanie infrastruktury dowodzenia a także utrudnia blokowanie serwerów command & conquer. Naukowcy z firmy Red Canary, firmy zajmującej się bezpieczeństwem, która odkryła złośliwe oprogramowanie, nazywają go Silver Sparrow.
Poważne zagrożenie
Chociaż nie zaobserwowaliśmy jeszcze, aby Silver Sparrow otrzymywał jakieś polecenia, jego wybiegająca w przyszłość kompatybilność z chipami M1, globalny zasięg, stosunkowo wysoki wskaźnik infekcji i dojrzałość operacyjna sugerują, że Silver Sparrow jest dość poważnym zagrożeniem, posiadającym wyjątkową pozycję do dostarczania potencjalnie szkodliwego payloada w jednej krótkiej chwili - napisali eksperci z Red Canary w poście na swoim blogu. Biorąc pod uwagę te powody do niepokoju, w duchu przejrzystości chcieliśmy podzielić się wszystkim, co wiemy, z branżą infosec tak szybko jak to jest możliwe.Silver Sparrow jest nam obecnie znany w dwóch wersjach - jednej skompilowanej dla procesorów Intel x86_64 i drugiej dla M1. Natywny kod M1 działa na nowej platformie z większą szybkością i niezawodnością niż kod x86_64, ponieważ ten pierwszy nie musi być tłumaczony przed wykonaniem. Wielu programistów legalnych aplikacji macOS wciąż nie ukończyło procesu ponownej kompilacji kodu dla M1. Wersja M1 Silver Sparrow sugeruje, że jej twórcy wyprzedzają swoją, nazwijmy to - konkurencję.
Sprawie przyglądało się też Malwarebytes
Po zainstalowaniu Silver Sparrow odwiedza adres URL, z którego został pobrany pakiet instalatora, najprawdopodobniej po to, aby operatorzy szkodliwego oprogramowania wiedzieli, które kanały dystrybucji są najbardziej skuteczne. Pod tym względem Silver Sparrow przypomina wcześniej widziane adware na macOS. Ciągle nie wiemy w jaki sposób i gdzie jest dystrybuowane złośliwe oprogramowanie i jak dochodzi do jego instalacji. Sprawdzanie adresu URL sugeruje jednak, że złośliwe wyniki wyszukiwania mogą być co najmniej jednym kanałem dystrybucji, w którym to przypadku instalatory prawdopodobnie udają legalne aplikacje.
Sprawdź oferty pracy na TeamQuest
Jedną z najbardziej imponujących rzeczy w Silver Sparrow jest liczba zainfekowanych komputerów Mac. Badacze z Red Canary pracowali ze swoimi odpowiednikami w Malwarebytes i stwierdzili wspólnie, że Silver Sparrow był zainstalowany na 29139 stacjach z macOS. Patrick Wardle, ekspert ds. bezpieczeństwa macOS twierdzi:
Dla mnie najbardziej godne uwagi jest to, że znaleziono go na prawie 30 000 komputerach macOS... i są to tylko punkty końcowe, które MalwareBytes widzi, więc prawdziwa liczba infekcji jest prawdopodobnie znacznie wyższa. To kolejny symptom tego, że złośliwe oprogramowanie macOS staje się coraz bardziej wszechobecne i powszechne, pomimo najlepszych starań Apple.