TeamQuest Blog

Nowy malware na Maca

Nowy malware na Maca

Marcin Sarna , 22.02.2021 r.

Prawie 30.000 komputerów zarażonych tajemniczym Silver Sparrow.

Ciągle dużo nie wiemy o wbudowanej autodestrukcji

Wcześniej niewykryty fragment złośliwego oprogramowania znaleziony na prawie 30 000 komputerów Mac na całym świecie wywołuje liczne znaki zapytania w kręgach ekspertów od spraw bezpieczeństwa. Ciągle próbują oni dokładnie zrozumieć, co robi i czemu służy zdolność tego malware do autodestrukcji.

Raz na godzinę zainfekowane komputery Mac sprawdzają serwer kontrolny, aby sprawdzić, czy są jakieś nowe polecenia, które złośliwe oprogramowanie powinno uruchomić, lub pliki binarne do wykonania. Jak dotąd jednak naukowcy nie zaobserwowali jeszcze dostarczenia żadnego rozkazu (payload) na żadnej z 30 000 zainfekowanych maszyn, co nie oznacza, że ostateczny cel szkodliwego oprogramowania jest nieznany. Brak końcowego rozkazu sugeruje, że złośliwe oprogramowanie może zacząć działać po spełnieniu nieznanego nam jeszcze warunku.

Co ciekawe, wyposażenie malware w mechanizm umożliwiający całkowite usunięcie się z zainfekowanej maszyny jest zwykle zarezerwowane dla operacji o wysokim stopniu ukrycia. Jak dotąd jednak nic nie wskazuje na zastosowanie funkcji autodestrukcji, co nasuwa pytanie, dlaczego ten mechanizm w ogóle istnieje.

Obsługuje chip M1

Oprócz tych pytań, szkodliwe oprogramowanie wyróżnia się wersją, która działa natywnie na chipie M1. Chip ten został wprowadzony przez Apple w listopadzie 2020 roku a analizowany malware jest dopiero drugim znanym złośliwym oprogramowaniem dla macOS, który to potrafi. Złośliwy plik binarny jest jeszcze bardziej tajemniczy, ponieważ używa interfejsu API JavaScript instalatora macOS do wykonywania poleceń. Utrudnia to analizę zawartości pakietu instalacyjnego oraz sposobu, w jaki pakiet używa poleceń JavaScript.

Złośliwe oprogramowanie zostało wykryte w 153 krajach, a najwięcej infekcji odnotowano w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Francji i Niemczech. Korzystanie z Amazon Web Services i sieci dostarczania treści Akamai zapewnia cyberprzestępcom niezawodne działanie infrastruktury dowodzenia a także utrudnia blokowanie serwerów command & conquer. Naukowcy z firmy Red Canary, firmy zajmującej się bezpieczeństwem, która odkryła złośliwe oprogramowanie, nazywają go Silver Sparrow.

Poważne zagrożenie

Chociaż nie zaobserwowaliśmy jeszcze, aby Silver Sparrow otrzymywał jakieś polecenia, jego wybiegająca w przyszłość kompatybilność z chipami M1, globalny zasięg, stosunkowo wysoki wskaźnik infekcji i dojrzałość operacyjna sugerują, że Silver Sparrow jest dość poważnym zagrożeniem, posiadającym wyjątkową pozycję do dostarczania potencjalnie szkodliwego payloada w jednej krótkiej chwili - napisali eksperci z Red Canary w poście na swoim blogu. Biorąc pod uwagę te powody do niepokoju, w duchu przejrzystości chcieliśmy podzielić się wszystkim, co wiemy, z branżą infosec tak szybko jak to jest możliwe.

Silver Sparrow jest nam obecnie znany w dwóch wersjach - jednej skompilowanej dla procesorów Intel x86_64 i drugiej dla M1. Natywny kod M1 działa na nowej platformie z większą szybkością i niezawodnością niż kod x86_64, ponieważ ten pierwszy nie musi być tłumaczony przed wykonaniem. Wielu programistów legalnych aplikacji macOS wciąż nie ukończyło procesu ponownej kompilacji kodu dla M1. Wersja M1 Silver Sparrow sugeruje, że jej twórcy wyprzedzają swoją, nazwijmy to - konkurencję.

Sprawie przyglądało się też Malwarebytes

Po zainstalowaniu Silver Sparrow odwiedza adres URL, z którego został pobrany pakiet instalatora, najprawdopodobniej po to, aby operatorzy szkodliwego oprogramowania wiedzieli, które kanały dystrybucji są najbardziej skuteczne. Pod tym względem Silver Sparrow przypomina wcześniej widziane adware na macOS. Ciągle nie wiemy w jaki sposób i gdzie jest dystrybuowane złośliwe oprogramowanie i jak dochodzi do jego instalacji. Sprawdzanie adresu URL sugeruje jednak, że złośliwe wyniki wyszukiwania mogą być co najmniej jednym kanałem dystrybucji, w którym to przypadku instalatory prawdopodobnie udają legalne aplikacje.

Sprawdź oferty pracy na TeamQuest

Jedną z najbardziej imponujących rzeczy w Silver Sparrow jest liczba zainfekowanych komputerów Mac. Badacze z Red Canary pracowali ze swoimi odpowiednikami w Malwarebytes i stwierdzili wspólnie, że Silver Sparrow był zainstalowany na 29139 stacjach z macOS. Patrick Wardle, ekspert ds. bezpieczeństwa macOS twierdzi:

Dla mnie najbardziej godne uwagi jest to, że znaleziono go na prawie 30 000 komputerach macOS... i są to tylko punkty końcowe, które MalwareBytes widzi, więc prawdziwa liczba infekcji jest prawdopodobnie znacznie wyższa. To kolejny symptom tego, że złośliwe oprogramowanie macOS staje się coraz bardziej wszechobecne i powszechne, pomimo najlepszych starań Apple.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej