本文经AI新媒体量子位(公众号ID:QbitAI)授权转载,转载请联系出处。Apple的新M1系列正成为恶意软件的“目标”。现在,一种名为SilverSparrow的新型恶意软件已悄然入侵了全球153个国家/地区的30,000台Mac。传播之广、隐蔽性之强,几乎让网络安全专家措手不及。而且,他们不仅无法控制“银鸟”的传播路线,更不知道其最终目的。也就是说,它不仅可以随时“自爆”,还可以在“作案”后将自己删除得无影无踪。这种随时“爆发”的名为“银鸟”的新型恶意软件有何独特之处?首先,这是用JavaScript编写的恶意软件,这在MacOS中非常少见。此外,它还专门为M1更新了一个软件版本。该软件现在有两个版本,一个用于基于Intel的Mac,另一个用于基于M1和更旧的Mac。本软件传输速率高,覆盖范围广,M1兼容性强,运行效果好。最重要的是,专家们还没有发现它是如何传播的。专家发现,Silverbird的基础设施托管在AmazonWebServicess3上,这是大多数公司使用的云资源。“Silverfinch”的可怕之处在于,安全研究人员发现它仍处于休眠期(其有效载荷尚未被发现)。目前,对两个版本文件的分析结果只有这样(轻微恶意):而且,“SilverCanary”还有一个“自毁”程序,事后可以自行删除而不留任何痕迹。该恶意软件只是每隔一小时向服务器发送一条消息,目前还没有大动作,但一旦满足触发条件,就会造成严重的后果。如何检查您的Mac截至目前,研究人员还不知道Silverfinch使用的是什么攻击媒介。攻击向量是黑客可以访问计算机或Web服务器以传递有效负载或恶意结果的路径或手段。因此,目前尚不清楚“银鸟”的攻击目标是什么,只能推测可能是恶意广告软件。但是,他们发现“SilverBird”会在~/Library/LaunchAgent文件夹下生成一个plist文件。也就是说,只要看到这个文件,你的电脑就有可能被感染(具体方法见文末)。那么,真的没有预防措施吗?一位HN网友给出了一些基本的建议。首先,请更新您的操作系统、浏览器和其他软件。此外,可以在浏览器中安装过滤浏览器内容的扩展程序uBlockOrigin和AdGuardHome等广告拦截器。第二,安装防火墙。这位用户推荐LittleSnitch,它可以用来监控应用程序以阻止或允许它们通过高级规则连接到网络。(一些恶意软件在检测到LittleSnitch时也会自动删除它。)最后,不要安装来自未知来源的软件。巧合的是,“SilverBird”并不是第一个针对M1系列Mac的恶意软件。事实上,就在一周前,还发现了另一种针对M1的恶意软件GoSearch22。这是恶意广告软件Pirrit的“升级版”,软件针对M1搭载的??ARM64架构进行了相应修改。GoSearch22具有持续攻击Mac设备的能力,普通用户很难移除。它会将自己隐藏为“浏览器扩展”,从Safari、Chrome等Mac浏览器收集数据,然后强行展示优惠券、广告横幅和恶意弹窗。研究人员推测,GoSearch22的目的是从广告和用户搜索结果中获利。此外,未来可能会开发出更多的恶意功能。目前,苹果已经吊销了Pirrit开发者使用的开发者证书。但这些恶意软件的陆续出现,也迫使杀毒引擎升级。杀毒软件亟待升级就在上周,专家们使用GoSearch22对一系列杀毒引擎进行了“测试”。他们发现,近15%的杀毒引擎未能检测到GoSearch22的存在,但基本可以检测到其之前的版本Pirrit。也就是说,现有的杀毒引擎对x86_64平台的防护仍然存在,但对ARM架构编写的恶意软件却没有“招架力”。这意味着这些为x86_64平台编写的病毒分析工具或反病毒引擎可能无法处理ARM64二进制文件。因此,对这些为ARM架构编写的恶意软件(“银鸟”、GoSearch22等)的检测能力成为评判杀毒软件的新标准。杀毒软件与恶意软件的“博弈”下,软件安全如何迭代升级?M1还有很长的路要走。完整检测方法:https://redcanary.com/blog/clipping-silver-sparrows-wings/
