新恶意软件“SilverSparrow”已感染近30,000台Mac,并已传播到153个国家研究人员披露了另一种以前未发现的恶意软件,截至发稿时,已在大约30,000台运行Intelx86_64和iPhone制造商的M1处理器的Mac中发现了这种恶意软件.然而,该行动的最终目标目前尚不清楚,由于缺乏下一阶段或最终有效载荷,研究人员无法确定其传播时间线以及攻击是否仍在积极发展中。目前,网络安全公司RedCanary将该恶意软件命名为“SilverSparrow”,并发现了该恶意软件的两个不同版本。第一个仅针对Intelx86_64编译并于2020年8月31日上传至VirusTotal(版本1),第二个变体于1月22日提交至数据库,兼容Intelx86_64和M1ARM64架构(版本2)。鉴于SilverSparrow双星“似乎还没有做那么多”,RedCanary将其称为“旁观者双星”。当在基于Intel的Mac上执行时,恶意包只显示一条消息“Hello,World!”消息,而Applesilicon二进制文件会导致出现一个红色窗口,上面写着“你做到了!”。RedCanary的TonyLambert解释说:Mach-O编译的二进制文件似乎没有做太多事情,所以我们一直将它们称为“旁观者二进制文件”。我们无法确定恶意软件将分发什么负载,负载是否具有Malwarebytes的数据显示,截至2月17日,已在美国、英国、加拿大、法国和法国等153个国家/地区检测到29,139个macOS端点。德国尽管目标macOS平台存在差异,但两个样本都遵循相同的操作方法:使用macOSInstallerJavaScriptAPI通过动态生成两个写入目标文件系统的shell脚本来执行攻击命令。“agent.sh”在安装结束时立即执行以通知AWS命令??和控制(C2)服务器安装成功,而“verx.sh”每小时运行一次以联系C2服务器下载并执行其他操作.此外,该恶意软件还能够从受感染的设备上完全删除它的存在,这表明与该活动相关的攻击者可能参与了隐身技术的开发。Apple现已意识到这种攻击方法,并已撤销使用AppleDeveloperID的SaotiaSeay(v1)和JulieWilley(v2)签名的二进制文件,以防止进一步安装。SilverSparrow是第二种恶意软件,它包含在Apple的新M1芯片上本地运行的代码。上周发现的名为GoSearch22的Safari广告软件扩展程序已被移植到由新处理器驱动的最新一代Mac上运行。据悉,该恶意软件最初是由一位名叫PartickWardle的安全研究员发现的。他发现M1平台上存在一种名为GoSearch22.app的恶意软件。这种恶意扩展是最古老、最活跃的Mac广告软件形式之一,并且以不断变化以逃避检测而闻名。GoSearch22广告软件的行为类似于真正的Safari浏览器扩展,但它会收集用户数据并投放大量广告、弹出窗口、弹出恶意网站链接等。Gosearch22以M1兼容代码的形式运行。虽然该恶意程序的代码逻辑在不同平台上是相同的,但杀毒软件可以轻松检测到intel-x86版本,但对ARM-M1版本则无动于衷。因此,目前大多数杀毒软件都无法识别和查杀M1版本的恶意软件。“虽然我们还没有观察到SilverSparrow提供额外的恶意有效载荷,但其前瞻性的M1芯片兼容性、全球传播、相对较高的感染率和操作成熟度表明SilverSparrow是一个相当大的威胁,”Lambert说。具有独特存储位置的严重威胁,可以立即下载恶意负载。RedCanary目前分享了检测一系列macOS攻击的方法,但这些步骤并不特定于检测SilverSparrow:1.寻找一个看似PlistBuddy的进程,使用包含以下内容的命令行执行:aunchAgents和RunAtLoad以及true。此分析可以帮助我们找到多个建立LaunchAgent持久性的macOS恶意软件系列。2.寻找一个看起来是sqlite3的进程,用下面的命令行执行。LS检疫。此分析帮助我们找到多个操纵或搜索下载文件元数据的macOS恶意软件系列。3.寻找似乎是curl执行进程的命令行包含:s3.amazonaws.com。该分析可以帮助我们找到多个使用S3存储桶进行分发的macOS恶意软件系列。现在有迹象表明,越来越多的恶意软件以Apple的M1Mac设备为目标。本文翻译自:https://thehackernews.com/2021/02/new-silver-sparrow-malware-infected.html如有转载请注明原文地址。
