Silver Sparrow Malware

Entro GoldSparrow nel Mac Malware

Traduci in:

Sembra che i cybercriminali stiano facendo gli straordinari e in soli tre mesi abbiano iniziato a pompare minacce malware in grado di infettare dispositivi alimentati dal nuovo chip M1 di Apple. Finora, un numero limitato di prodotti rilasciati è stato alimentato dal chip: MacBook Pro, MacBook Air e Mac Mini introdotti da Apple nel novembre 2020.

Quello che si ritiene essere il primo ceppo di malware a prendere di mira i nuovi sistemi è stato scoperto dal ricercatore di lunga data della sicurezza Mac Patrick Wardle. La minaccia chiamata GoSearch22.app è una versione modificata dell'adware Pirrit. Solo un paio di giorni dopo, è stato rilasciato un secondo malware in grado di funzionare su architetture M1 ARM64

La minaccia è stata chiamata Silver Sparrow e presenta diversi tratti che la distinguono dal solito malware per macOS. Invece di fare affidamento sugli script di preinstallazione e post-installazione per eseguire i comandi, Silver Sparrow sfrutta l'API JavaScript Installer di macOS. I ricercatori notano che tale comportamento è stato osservato in software legittimo prima, ma non tanto come parte delle minacce malware.

Il meccanismo di persistenza di Silver Sparrow viene stabilito tramite l'utente di un processo PlistBuddy. Quando viene inizializzato, crea un LaunchAgent che trasmette le istruzioni al sistema launchd di macOS. L'obiettivo è impostare l'esecuzione automatica di determinate attività. Se Silver Sparrow ha successo, risulterà in uno script di shell che recupera un file JSON dal server Command-and-Control e lo rilascia nel sistema compromesso. Il processo verrà ripetuto ogni ora. Il file JSON verrà quindi convertito in un file plist e le sue proprietà determineranno quali saranno le azioni successive del malware.

La funzionalità dell'architettura M1 di Silver Sparrow è contenuta in un binario Mach-O estraneo. Per ora, il binario sembra essere un segnaposto che mostra il messaggio "L'hai fatto" al momento.

Lo scopo di Silver Sparrow rimane sconosciuto

Per ora, l'obiettivo degli hacker responsabili di Silver Sparrow non può essere determinato in quanto la minaccia malware non è stata osservata distribuendo alcun payload minaccioso sui sistemi infetti. I dati raccolti, tuttavia, rivelano che la minaccia è già riuscita a violare migliaia di computer. Quasi 30.000 vittime della minaccia sono già state rilevate con utenti compromessi sparsi in 153 paesi. La più alta concentrazione di vittime è stata osservata negli Stati Uniti, Regno Unito, Canada, Francia e Germania.

Silver Sparrow non dovrebbe essere sottovalutato. La minaccia ha una portata globale, un alto tasso di infezione, un'infrastruttura consolidata ed è pronta a colpire i nuovi prodotti Apple. I criminali informatici possono, in qualsiasi momento, scegliere di istruire la loro creazione minacciosa per iniziare a fornire payload malware devastanti.