Macs M1 dirigidos por malware adicional, la amenaza exacta sigue siendo un misterio

La empresa de seguridad Red Canary descubrió el segundo malware conocido que se ha compilado para ejecutarse de forma nativa en Mac M1.

m1 mac mini pantalla

m1 mac mini pantalla
Dado el nombre «Silver Sparrow», se dice que el paquete malicioso aprovecha la API de JavaScript del instalador de macOS para ejecutar comandos sospechosos. Sin embargo, después de observar el malware durante más de una semana, ni Red Canary ni sus socios de investigación observaron una carga útil final, por lo que la amenaza exacta que representa el malware sigue siendo un misterio.

Sin embargo, Red Canary dijo que el malware podría ser «una amenaza razonablemente seria»:

Aunque aún no hemos observado que Silver Sparrow entregue cargas útiles maliciosas adicionales, su compatibilidad con el chip M1 con visión de futuro, su alcance global, su tasa de infección relativamente alta y su madurez operativa sugieren que Silver Sparrow es una amenaza razonablemente grave, en una posición única para ofrecer una carga útil potencialmente impactante. en cualquier momento.

Según los datos proporcionados por Malwarebytes, «Silver Sparrow» había infectado 29.139 sistemas macOS en 153 países al 17 de febrero, incluidos «altos volúmenes de detección en los Estados Unidos, el Reino Unido, Canadá, Francia y Alemania». Red Canary no especificó cuántos de estos sistemas eran Macs M1, en su caso.

Dado que los binarios de «Silver Sparrow» «no parecen hacer tanto» todavía, Red Canary se refirió a ellos como «binarios de espectadores». Cuando se ejecuta en Mac basadas en Intel, el paquete malicioso simplemente muestra una ventana en blanco con un «¡Hola, mundo!» , mientras que el binario de silicio de Apple lleva a una ventana roja que dice «¡Lo hiciste!»

lo hiciste gorrión plateado

lo hiciste gorrión plateado
Red Canary compartió métodos para detectar una amplia gama de amenazas de macOS, pero los pasos no son específicos para detectar «Silver Sparrow»:

– Busque un proceso que parezca ser PlistBuddy ejecutándose junto con una línea de comando que contenga lo siguiente: LaunchAgents y RunAtLoad y true. Esta analítica nos ayuda a encontrar varias familias de malware macOS que establecen la persistencia de LaunchAgent.
– Busque un proceso que parezca ejecutarse sqlite3 junto con un
línea de comando que contiene: LSQuarantine. Esta analítica nos ayuda a encontrar varias familias de malware macOS que manipulan o buscan metadatos para archivos descargados.
– Busque un proceso que parezca que se está ejecutando curl junto con una línea de comando que contenga: s3.amazonaws.com. Esta analítica nos ayuda a encontrar varias familias de malware de macOS que utilizan depósitos S3 para la distribución.

La primera pieza de malware capaz de ejecutarse de forma nativa en Mac M1 se descubrió hace solo unos días. Los detalles técnicos sobre esta segunda pieza de malware se pueden encontrar en la publicación del blog de Red Canary, y Ars Technica también tiene una buena explicación.