M1 恶意软件后,新的“Silver Sparrow”被发现,已感染 3 万台 Mac

思否编辑部

M1 恶意软件后,新的“Silver Sparrow”被发现,已感染 3 万台 Mac

发现首批针对 Apple M1 芯片的恶意软件后几天,研究人员披露了另一个以前未被发现的恶意软件,该恶意软件已在大约 30000 台运行 Intel x86_64 的 Mac 和 Apple M1 处理器中发现。

然而,这次行动仍然存在一个难题,由于缺乏下一级或最终有效载荷,研究人员无法确定其分布时间表,也不知道威胁是否正在积极开发。

恶意软件存在两个版本

网络安全公司 Red Canary 称这款恶意软件为“Silver Sparrow”,它识别出了两个不同版本的恶意软件——一个只为英特尔 x8664 编译,并于 2020 年 8 月 31 日上传到 VirusTotal (版本1) ,另一个版本于 1 月 22 日上传到数据库,兼容英特尔 x8664 和 M1 ARM64 架构(版本2)。

更加令人迷惑的是,x86_64 二进制文件在执行后仅显示消息“ Hello,World!”。而 M1 二进制文件显示为“您做到了!”,研究人员怀疑该文件已被用作占位符。

Red Canary 的 Tony Lambert 说:“ Mach-O 编译的二进制似乎没有做那么多事情,所以我们一直称它们为‘旁观者二进制’。”

Tony Lambert 还补充道:“我们无法确定恶意软件将分配什么样的有效载荷,是否已经交付和删除了有效载荷,或者他们是否有未来的分配时间表。”

image.png

根据来自 Malwarebytes 的数据,截至 2 月 17 日,29139 个 macOS 端点分布在 153 个国家,其中包括美国、英国、加拿大、法国和德国的大量检测。

尽管目标 macOS 平台有所不同,但这两个例子遵循了相同的操作方式: 使用 macOS 安装器 JavaScript API 来执行攻击命令,动态生成两个写入目标文件系统的 shell 脚本。

尽管“ agent.sh”在安装结束时立即执行,以通知 AWS 命令与控制(C2)服务器成功安装,但“ verx.sh”每小时运行一次,与 C2服务器联系以获得下载和执行的其他内容。

此外,该恶意软件具有从受感染主机中完全清除其存在的功能,这表明与该活动相关的参与者可能是由“隐身”技术激发的。

苹果已阻止进一步安装,Silver Sparrow 仍是严重威胁

作为对调查结果的回应,苹果已经撤销了与苹果开发者 ID 的 Saotia Seay (v1)和 Julie Willey (v2)签署的二进制文件,从而阻止了进一步的安装。

Silver Sparrow 是第二种恶意软件,其中包含可在苹果的新 M1 芯片上本地运行的代码。上周发现了一个名为 GoSearch22 的 Safari 广告软件扩展,已将其移植到可在由新处理器驱动的最新一代 Mac 上运行。

Tony Lambert 说:“尽管我们还没有观察到 Silver Sparrow 可以提供额外的恶意负载,但它前瞻性的 M1芯片兼容性、全球覆盖率、相对较高的感染率和运营成熟度表明,Silver Sparrow 是一个相当严重的威胁,处于独特的位置,可以在一瞬间提供具有潜在影响力的载荷。”

segmentfault 公众号

阅读 900

SegmentFault 行业快讯
第一时间为开发者提供行业相关的实时热点资讯

让我们陷入困境的不是无知,而是看似正确的谬误论断。思考、否定、再思考,出家人不打诳语,撰文者不说空话。

2.8k 声望
93k 粉丝
0 条评论
你知道吗?

让我们陷入困境的不是无知,而是看似正确的谬误论断。思考、否定、再思考,出家人不打诳语,撰文者不说空话。

2.8k 声望
93k 粉丝
宣传栏