新的Silver Sparrow恶意软件感染了近30,000台Mac

一种名为Silver Sparrow的新型macOS恶意软件已悄悄感染了近30,000台Mac设备,这些恶意软件的目的是神秘的。

在Red Canary,Malwarebytes和VMware Carbon Black之间的合作中,研究人员发现了一种新的Mac恶意软件,它具有不同寻常的特性,其中包括为新Apple M1芯片明确编译的组件。

根据Malwarebytes的说法,该恶意软件已经感染了153个国家/地区的29,139台Mac设备,并在美国,英国,加拿大,法国和德国大量传播。

不是您的典型广告软件

尽管苹果一直以macOS的安全性为荣,但事实是,操作系统越来越受到恶意软件,勒索软件和广告软件的攻击。

在RedCanary的最新报告中,研究人员发现了一种针对Mac设备的新型恶意软件,与针对该操作系统开发的大多数感染病毒不同。

该恶意软件名为Silver Sparrow,被视为以两个不同文件的形式分发,这些文件分别名为“ updater.pkg” [ VirusTotal ]或“ update.pkg” [ VirusTotal ]。Red Canary看到的唯一区别是update.pkg同时包含Intel x86_64和Apple M1二进制文件,而updater.pkg仅包含Intel可执行文件。

Silver Sparrow可执行文件
Silver Sparrow可执行文件

与大多数使用’preinstall’和’postinstall’脚本执行命令或安装其他恶意软件的macOS广告软件不同,Silver Sparrow利用JavaScript执行命令。JavaScript的使用会产生不同的遥测,从而使得更难根据命令行参数检测恶意活动。

SilverSparrow使用JavaScript,将创建由恶意软件执行的Shell脚本,以与命令和控制服务器进行通信,并创建LaunchAgent Plist XML文件,以定期执行Shell脚本。

创建恶意的Shell脚本和LaunchAgent
创建恶意的Shell脚本和LaunchAgent

LaunchAgent每小时将连接到威胁参与者的命令和控制服务器,以检查恶意软件将执行的新命令。

在运行时,恶意软件将检查 ~/Library/._insu 文件是否存在,如果找到,将删除自身和所有关联文件。研究人员还无法确定是什么触发了此终止开关。

恶意软件的目的是一个谜

在观察了一周的恶意软件后,Red Canary研究人员看不到这些小时检查所下载和触发的其他有效负载。因此,恶意软件的真正目的仍然是个谜。

“此外,该恶意软件的最终目标是一个谜。我们无法确定是否知道恶意软件将分发哪些有效载荷,是否已经交付和删除了有效载荷,或者对手是否有未来的时间表。发行”,Red Canary的报告解释说。

Silver Sparrow随附的Intel和Mach-O二进制文件似乎是正在开发的恶意软件的占位符,因为执行它们仅显示说明“ Hello World”或“ You done it!”的屏幕,如下所示。

运行后显示的屏幕包括二进制文件
运行后显示的屏幕包括二进制文件

不幸的是,此时,Silver Sparrow的分布仍然是一个谜。

“除了通过安装程序.pkg文件进行安装的事实外,我们不知道。我们不知道用户最初是如何找到该安装程序的。实际上,我有点怀疑它可能仍然是至少以这种形式发行”,Malwarebytes的托马斯·里德(Thomas Reed)告诉BleepingComputer

如何检查Silver Sparrow恶意软件

如果您使用Mac的Malwarebytes,则该程序已在一周前进行了更新,以检测是否已安装Silver Sparrow恶意软件。

对于那些不使用Malwarebytes或想手动检查恶意软件是否存在的用户,可以使用Red Canary提供的以下清单。

  • 查找看起来PlistBuddy 与包含以下内容的命令行一起执行的进程 : LaunchAgents 和 RunAtLoad 和 true。该分析有助于我们找到建立LaunchAgent持久性的多个macOS恶意软件家族。
  • 寻找出现要的处理 sqlite3 结合包含一个命令行执行:  LSQuarantine。这种分析有助于我们找到操纵或搜索下载文件的元数据的多个macOS恶意软件家族。
  • 寻找出现要的处理 curl 结合包含一个命令行执行:  s3.amazonaws.com。此分析有助于我们使用S3存储桶进行分发来找到多个macOS恶意软件家族。

要执行这些步骤,可以在Terminal中使用以下命令:

ps -aex | grep -i buddy
ps -aex | grep -i curl | grep -i amazon
ps -aex | grep -i sqlite3 | grep -i LSQuarantine

如果输出中列出了某些进程(不包括上述进程),则应立即扫描设备中的恶意软件,并检查其是否受到进一步破坏。

*编译:Domino

*来自:bleepingcomputer