网络安全公司RedCanary上周发布了关于一种名为SilverSparrow的新Mac恶意软件的调查结果。该恶意软件是第一个包含针对Apple新M1芯片的本机代码的恶意软件。然而,关于此恶意软件的未知信息实际上比已知信息更有趣!安装我们知道这个恶意软件是通过一个名为update.pkg或updater.pkg的Apple安装程序包(.pkg文件)安装的。但是,我们不知道这些文件是如何交付给用户的。这些.pkg文件包含可以在实际安装开始之前开始运行的JavaScript代码。然后询问用户是否要允许程序运行“以确定是否可以安装软件”。这意味着,如果你点击“继续”,想了想又退出了安装程序,那就已经来不及了。你已经被感染了。恶意软件生命周期恶意JavaScript代码为当前用户安装一个启动代理plist文件,该文件旨在每小时启动一个名为verx.sh的脚本,该脚本具有多个功能。首先,它将联系以前托管在亚马逊AWS上的命令和控制服务器。分析时,它返回的数据如下所示:接下来,恶意软件检查文件~/Library/._insu。从Malwarebytes数据来看,这似乎是一个零字节文件,恶意软件只是将其用作标记来指示它应该删除自己。在此示例中,脚本执行此操作然后退出。最后,它会尝试确定是否有更新版本的恶意软件(如果没有安装最终的payload,情况总是如此),如果有,它将从downloadUrl参数提供的URL下载payload来自命令和控制服务器负载的数据。但是从数据中可以看出,在分析的时候,下载地址是空白的。虽然我们知道脚本会将有效负载存储在/tmp/verx上,但我们还没有在任何受感染的机器上看到此有效负载的任何实例。如果实际下载了有效载荷,它将以args数据作为参数启动。.pkg文件与JavaScript删除的文件不同,它还会将应用程序安装到Applications文件夹中。根据.pkg文件的版本,此应用程序被命名为“tasker”或“updater”。这两个应用程序看起来都是非常简单的占位符应用程序,没有其他有趣的地方。SilverSparrowMalwarebytes的研究人员在野外与RedCanary的研究人员合作进行了他们的发现,并在这一点上收集了有关感染的重要数据。在撰写本文时,我们已经看到39,080台具有SilverSparrow组件的独特计算机被Malwarebytes检测到。这些检测主要集中在美国,其中超过25,000台独特的计算机被SilverSparrow检测到。当然,这也是因为Malwarebytes在美国拥有庞大的客户群,但在164个国家的测试表明,该恶意软件确实非常普遍。SilverSparrow在各个国家检测到的路径显示出一个相当有趣的模式。事实上,绝大多数“感染”都由._insu文件表示,并且它所在的计算机没有任何其他组件(正如预期的那样)。Malwarebytes的检测结论到目前为止,我们还没有看到/tmp/verxpayload,也没有被感染的计算机安装过它。正如RedCanary所说,这意味着我们对恶意软件的意图知之甚少。是的,Malwarebytes保护您的Mac免受SilverSparrow的侵害。来自命令和控制服务器(upbuchupsf)的数据中的args值看起来类似于广告软件经常使用的附属代码。但是,我们不能根据十个字符的字符串进行假设,因为这样的假设很容易出错。毕竟,出售给多人并由多人使用的恶意软件很可能包含某种“客户代码”。有趣的是,._insu文件的数量如此之多,因为这个文件表明恶意软件应该删除自己(虽然我们不知道这个文件是如何创建的),这是一个强有力的证据,表明它可能先于计算机被感染。因此,这种感染很可能是最近某个时候出现的,但操作者发出了一个静默的“kill”命令,导致恶意软件自行删除。这可能与上传到VirusTotal的最新恶意安装程序的首次出现相对应,这可能向创建者表明已发现恶意软件,尽管也可能由其他事件提示。根据RedCanary的调查结果,由于这两个命令和控制服务器域分别于2020年8月和2020年12月注册,因此这些机器不太可能在较长时间内受到感染。Malwarebytes将这些文件检测为OSX.SilverSparrow。本文翻译自:https://blog.malwarebytes.com/mac/2021/02/the-mystery-of-the-silver-sparrow-mac-malware/
