一种名为Silver Sparrow的新型macOS恶意软件已悄悄感染了近30,000台Mac设备,这些恶意软件的目的是神秘的。
在Red Canary,Malwarebytes和VMware Carbon Black之间的合作中,研究人员发现了一种新的Mac恶意软件,它具有不同寻常的特性,其中包括为新Apple M1芯片明确编译的组件。
根据Malwarebytes的说法,该恶意软件已经感染了153个国家/地区的29,139台Mac设备,并在美国,英国,加拿大,法国和德国大量传播。
不是您的典型广告软件
尽管苹果一直以macOS的安全性为荣,但事实是,操作系统越来越受到恶意软件,勒索软件和广告软件的攻击。
在RedCanary的最新报告中,研究人员发现了一种针对Mac设备的新型恶意软件,与针对该操作系统开发的大多数感染病毒不同。
该恶意软件名为Silver Sparrow,被视为以两个不同文件的形式分发,这些文件分别名为“ updater.pkg” [ VirusTotal ]或“ update.pkg” [ VirusTotal ]。Red Canary看到的唯一区别是update.pkg同时包含Intel x86_64和Apple M1二进制文件,而updater.pkg仅包含Intel可执行文件。
与大多数使用’preinstall’和’postinstall’脚本执行命令或安装其他恶意软件的macOS广告软件不同,Silver Sparrow利用JavaScript执行命令。JavaScript的使用会产生不同的遥测,从而使得更难根据命令行参数检测恶意活动。
SilverSparrow使用JavaScript,将创建由恶意软件执行的Shell脚本,以与命令和控制服务器进行通信,并创建LaunchAgent Plist XML文件,以定期执行Shell脚本。
LaunchAgent每小时将连接到威胁参与者的命令和控制服务器,以检查恶意软件将执行的新命令。
在运行时,恶意软件将检查 ~/Library/._insu 文件是否存在,如果找到,将删除自身和所有关联文件。研究人员还无法确定是什么触发了此终止开关。
恶意软件的目的是一个谜
在观察了一周的恶意软件后,Red Canary研究人员看不到这些小时检查所下载和触发的其他有效负载。因此,恶意软件的真正目的仍然是个谜。
“此外,该恶意软件的最终目标是一个谜。我们无法确定是否知道恶意软件将分发哪些有效载荷,是否已经交付和删除了有效载荷,或者对手是否有未来的时间表。发行”,Red Canary的报告解释说。
Silver Sparrow随附的Intel和Mach-O二进制文件似乎是正在开发的恶意软件的占位符,因为执行它们仅显示说明“ Hello World”或“ You done it!”的屏幕,如下所示。
不幸的是,此时,Silver Sparrow的分布仍然是一个谜。
“除了通过安装程序.pkg文件进行安装的事实外,我们不知道。我们不知道用户最初是如何找到该安装程序的。实际上,我有点怀疑它可能仍然是至少以这种形式发行”,Malwarebytes的托马斯·里德(Thomas Reed)告诉BleepingComputer
如何检查Silver Sparrow恶意软件
如果您使用Mac的Malwarebytes,则该程序已在一周前进行了更新,以检测是否已安装Silver Sparrow恶意软件。
对于那些不使用Malwarebytes或想手动检查恶意软件是否存在的用户,可以使用Red Canary提供的以下清单。
- 查找看起来
PlistBuddy与包含以下内容的命令行一起执行的进程 :LaunchAgents和RunAtLoad和true。该分析有助于我们找到建立LaunchAgent持久性的多个macOS恶意软件家族。 - 寻找出现要的处理
sqlite3结合包含一个命令行执行:LSQuarantine。这种分析有助于我们找到操纵或搜索下载文件的元数据的多个macOS恶意软件家族。 - 寻找出现要的处理
curl结合包含一个命令行执行:s3.amazonaws.com。此分析有助于我们使用S3存储桶进行分发来找到多个macOS恶意软件家族。
要执行这些步骤,可以在Terminal中使用以下命令:
ps -aex | grep -i buddy
ps -aex | grep -i curl | grep -i amazon
ps -aex | grep -i sqlite3 | grep -i LSQuarantine如果输出中列出了某些进程(不包括上述进程),则应立即扫描设备中的恶意软件,并检查其是否受到进一步破坏。
*编译:Domino
*来自:bleepingcomputer