4000-110-253
新型惡意軟件“Silver Sparrow”已感染了近三萬台Mac,且已擴散到153個(gè)國家(jiā)/地區(qū). 2021-02-26
繼新的一年發現首批針對Apple M1芯片的惡意軟件後幾天,研究人(rén)員又披露了另一個(gè)以前未被發現的惡意軟件,截止發稿時(shí),該惡意軟件已在大(dà)約30000台運行(xíng)Intel x86_64的Mac和(hé)iPhone制(zhì)造商的M1處理(lǐ)器(qì)中被發現。
然而,該行(xíng)動的最終目标目前還(hái)不得(de)而知,由于缺乏下一階段或最終的有(yǒu)效載荷,研究人(rén)員無法确定其傳播時(shí)間(jiān)表以及攻擊是否還(hái)在積極發展中。
目前網絡安全公司Red Canary已該惡意軟件命名為(wèi)“Silver Sparrow”,且發現了兩種不同版本的惡意軟件,第一個(gè)僅針對Intel x86_64編譯,并于2020年8月31日上(shàng)傳到VirusTotal(版本1),第二個(gè)變種1月22日提交到數(shù)據庫的兼容英特爾x86_64和(hé)M1 ARM64架構(版本2)。
鑒于 Silver Sparrow 二進制(zhì)文件 “似乎還(hái)沒有(yǒu)那(nà)麽大(dà)的作(zuò)用”,Red Canary 将其稱為(wèi) “旁觀者二進制(zhì)文件 "”。當在基于英特爾的 Mac 上(shàng)執行(xíng)時(shí),惡意包隻是顯示了一個(gè)帶有(yǒu) “Hello, World!”信息的空(kōng)白窗口,而蘋果 silicon 二進制(zhì)文件則會(huì)導緻一個(gè)紅色窗口出現,上(shàng)面寫着 “You did it!”。
對此Red Canary的托尼·蘭伯特(Tony Lambert)解釋到:
Mach-O編譯的二進制(zhì)文件似乎并沒有(yǒu)做(zuò)太多(duō),因此我們一直将它們稱為(wèi)“旁觀者二進制(zhì)文件。我們無法确定惡意軟件将分配什麽樣的有(yǒu)效載荷,是否已經交付和(hé)删除了有(yǒu)效載荷或攻擊者未來(lái)是否有(yǒu)要計(jì)劃傳播的時(shí)間(jiān)表。
Malwarebytes的數(shù)據顯示,截至2月17日,29139個(gè)macOS終端已在153個(gè)國家(jiā)/地區(qū)被大(dà)量檢測到,包括美國、英國、加拿(ná)大(dà)、法國和(hé)德國。
盡管目标macOS平台存在差異,但(dàn)這兩個(gè)示例遵循相同的操作(zuò)方法:使用macOS Installer JavaScript API通(tōng)過動态生(shēng)成寫入目标文件系統的兩個(gè)Shell腳本來(lái)執行(xíng)攻擊命令。
盡管“agent.sh”在安裝結束時(shí)立即執行(xíng),以通(tōng)知AWS命令和(hé)控制(zhì)(C2)服務器(qì)安裝成功,但(dàn)“verx.sh”每小(xiǎo)時(shí)運行(xíng)一次,聯系C2服務器(qì)以下載和(hé)執行(xíng)其他操作(zuò)。
此外,該惡意軟件還(hái)具有(yǒu)完全從受攻擊的設備上(shàng)删除其存在的能力,這表明(míng)與活動有(yǒu)關的攻擊者可(kě)能參與過隐藏技(jì)術(shù)的開(kāi)發。
目前蘋果已經得(de)知了這個(gè)攻擊方法并撤銷了與Apple Developer ID的Saotia Seay (v1)和(hé)Julie Willey (v2)簽署的二進制(zhì)文件,從而阻止了進一步的安裝。
Silver Sparrow是第二種惡意軟件,其中包含可(kě)在Apple的新M1芯片上(shàng)本地運行(xíng)的代碼。上(shàng)周發現的一個(gè)名為(wèi)GoSearch22的Safari廣告軟件擴展,已将其移植到可(kě)在由新處理(lǐ)器(qì)驅動的最新一代Mac上(shàng)運行(xíng)。據悉,最先發現該惡意軟件的是一位名叫Partick Wardle的安全研究人(rén)員。他發現了M1平台上(shàng)一款名為(wèi)GoSearch22.app的惡意軟件的存在。該惡意擴展是最古老且最活躍的Mac廣告軟件之一,一直以不斷變化以規避檢測而著稱。GoSearch22廣告軟件表現為(wèi)一個(gè)正版的Safari浏覽器(qì)擴展,但(dàn)會(huì)收集用戶數(shù)據,并提供大(dà)量的廣告,彈出窗口,彈出惡意網站(zhàn)的鏈接等。Gosearch22的運行(xíng)采用的是M1兼容代碼的形式。雖然該惡意程序的代碼邏輯在不同平台是相同的, 殺毒軟件可(kě)以輕易的檢測出intel-x86版本,但(dàn)面對ARM-M1版本卻無動于衷 。因此截止到目前,大(dà)多(duō)數(shù)殺毒軟件都無法對M1版本的該惡意軟件做(zuò)到識别查殺。
Lambert說:
盡管我們還(hái)沒有(yǒu)觀察到Silver Sparrow可(kě)以提供額外的惡意載荷,但(dàn)其前瞻性的M1芯片兼容性、全球範圍的傳播、相對較高(gāo)的感染率和(hé)操作(zuò)成熟度表明(míng),Silver Sparrow是一個(gè)相當嚴重的威脅,其獨特的存儲位置可(kě)以在接到通(tōng)知時(shí)立馬下載惡意有(yǒu)效載荷。
Red Canary 目前分享了檢測一系列 macOS 攻擊的方法,但(dàn)這些(xiē)步驟并不是專門(mén)針對檢測 Silver Sparrow 的:
1.尋找一個(gè)似乎是 PlistBuddy 的進程,與包含以下內(nèi)容的命令行(xíng)一起執行(xíng):aunchAgents and RunAtLoad and true. 這個(gè)分析可(kě)以幫助我們找到多(duō)個(gè) macOS 惡意軟件家(jiā)族建立 LaunchAgent 的持久性。
2.尋找一個(gè)似乎是 sqlite3 的進程,該進程與以下命令行(xíng)一起執行(xíng)。LSQuarantine. 這個(gè)分析可(kě)以幫助我們找到多(duō)個(gè) macOS 惡意軟件系列,操縱或搜索下載文件的元數(shù)據。
3.尋找一個(gè)似乎是 curl 執行(xíng)進程,該進程的命令行(xíng)包含:s3.amazonaws.com. 這個(gè)分析可(kě)以幫助我們找到多(duō)個(gè)使用 S3 buckets 進行(xíng)分發的 macOS 惡意軟件家(jiā)族。
現在迹象表明(míng),越來(lái)越多(duō)的惡意軟件開(kāi)始盯上(shàng)蘋果 M1 Mac 設備。
轉自嘶吼網/luochicun
本文翻譯自:https://thehackernews.com/2021/02/new-silver-sparrow-malware-infected.html
