Silver Sparrow Malware

Tegen GoldSparrow in Mac Malware

Vertalen naar:

Het lijkt erop dat cybercriminelen overuren maken en in slechts drie maanden zijn begonnen met het uitpompen van malwarebedreigingen die apparaten kunnen infecteren die worden aangedreven door de nieuwe M1-chip van Apple. Tot nu toe werd een beperkt aantal uitgebrachte producten aangedreven door de chip: de MacBook Pro, MacBook Air en Mac Mini die Apple in november 2020 introduceerde.

Wat wordt beschouwd als de eerste malware-soort die zich op de nieuwe systemen richt, werd ontdekt door de oude Mac-beveiligingsonderzoeker Patrick Wardle. De dreiging genaamd GoSearch22.app is een aangepaste versie van de Pirrit- adware. Slechts een paar dagen later kwam er een tweede malware uit die op M1 ARM64-architecturen kon draaien

De dreiging heette Silver Sparrow en vertoont verschillende eigenschappen die hem onderscheiden van de gebruikelijke macOS-malware. In plaats van te vertrouwen op pre- en post-install-scripts om opdrachten uit te voeren, maakt Silver Sparrow gebruik van de macOS Installer JavaScript API. De onderzoekers merken op dat dergelijk gedrag al eerder is waargenomen in legitieme software, maar niet zozeer als onderdeel van malwarebedreigingen.

Het persistentiemechanisme van Silver Sparrow wordt tot stand gebracht door de gebruiker van een PlistBuddy-proces. Bij initialisatie wordt een LaunchAgent gemaakt die instructies doorgeeft aan het macOS launchd-systeem. Het doel is om een automatische uitvoering van bepaalde taken in te stellen. Als Silver Sparrow succesvol is, resulteert dit in een shell-script dat een JSON-bestand ophaalt van de Command-and-Control-server en het op het gecompromitteerde systeem plaatst. Het proces wordt elk uur herhaald. Het JSON-bestand wordt vervolgens omgezet in een plist en de eigenschappen ervan bepalen wat de volgende acties van de malware zullen zijn.

De M1-architectuurfunctionaliteit van Silver Sparrow zit vervat in een extern Mach-O-binair bestand. Voorlopig lijkt het binaire bestand een tijdelijke aanduiding te zijn die momenteel het bericht 'Je deed het' weergeeft.

Het doel van Silver Sparrow blijft onbekend

Voorlopig kon het doel van de hackers die verantwoordelijk zijn voor Silver Sparrow niet worden bepaald, aangezien niet is waargenomen dat de malwarebedreiging enige bedreigende lading op de geïnfecteerde systemen aflevert. Uit de verzamelde gegevens blijkt echter dat de dreiging al duizenden computers heeft doorbroken. Bijna 30.000 slachtoffers van de dreiging zijn al gedetecteerd en de gecompromitteerde gebruikers zijn verspreid over 153 landen. De hoogste concentratie slachtoffers werd waargenomen in de Verenigde Staten, het Verenigd Koninkrijk, Canada, Frankrijk en Duitsland.

Silver Sparrow mag niet worden onderschat. De dreiging heeft een wereldwijd bereik, een hoog infectiepercentage, een gevestigde infrastructuur en is klaar om toe te slaan op de nieuwste Apple-producten. De cybercriminelen kunnen er op elk moment voor kiezen om hun bedreigende creatie opdracht te geven om verwoestende malware-ladingen te leveren.