本文經(jīng)AI新媒體量子位（公眾號ID:QbitAI）授權(quán)轉(zhuǎn)載，轉(zhuǎn)載請聯(lián)系出處。

蘋果新出的M1系列，正被惡意軟件“盯上”。

現(xiàn)在，一個名為“銀絲雀”（Silver Sparrow）的新型惡意軟件，已經(jīng)悄悄入侵了全球153個國家的30000臺Mac。

傳播之廣、行動之隱蔽，幾乎讓網(wǎng)絡(luò)安全專家們措手不及。

而且，他們不僅無法掌控“銀絲雀”的傳播途徑，也還不清楚它的最終目的。

換而言之，它不僅隨時可能“自爆”，而且還能在“作案”后，無痕刪除自己。

隨時“自爆”的炸彈

這個名為“銀絲雀”的新型惡意軟件，獨特在什么地方？

首先，這是個用JavaScript編寫的惡意軟件，這對于MacOS來說非常罕見。

此外，它還特意為M1更新了一版軟件?，F(xiàn)在的兩版軟件中，一個針對Intel系列Mac設(shè)備，另一個則針對基于M1的、以及舊版的Mac設(shè)備。

這個軟件的傳播速率高、覆蓋率廣、M1兼容性強，運行效果也良好，最關(guān)鍵的是，目前專家尚未發(fā)現(xiàn)它是如何傳播的。

專家發(fā)現(xiàn)，“銀絲雀”的基礎(chǔ)設(shè)施托管在亞馬遜云平臺（Amazon Web Services s3）上，這是大多數(shù)公司都在使用的云資源。

“銀絲雀”的可怕之處在于，安全研究人員發(fā)現(xiàn)，它現(xiàn)在還在蟄伏期（尚未發(fā)現(xiàn)其有效載荷）。

目前，解析兩個版本的文件結(jié)果，僅是這樣的（略帶惡意）：

而且，“銀絲雀”還具有“自毀”程序，可以在事后刪除自己，不留任何痕跡。

這款惡意軟件只是每小時向服務(wù)器發(fā)送一條消息，還沒有任何大動作，但是一旦滿足觸發(fā)條件，將產(chǎn)生嚴重后果。

如何檢查自己的Mac

截至目前，研究人員還不知道“銀絲雀”使用的是什么攻擊向量 （attack vector）。

攻擊向量指一種路徑或手段，黑客可以通過它訪問計算機或網(wǎng)絡(luò)服務(wù)器，以傳遞有效負載或惡意結(jié)果。

因此，目前還不清楚“銀絲雀”的攻擊目標是什么，僅能推測它可能是一款惡意廣告軟件。

不過他們發(fā)現(xiàn)，“銀絲雀”會在~/Library/LaunchAgent文件夾下生成plist文件。

也就是說，只要看到這個文件，你的電腦就可能被感染了（具體方法見文末）。

那么，真的就沒有任何防范措施了嗎？

一位HN網(wǎng)友給出了幾點基礎(chǔ)的建議。

首先，保持操作系統(tǒng)、瀏覽器及其他軟件的更新。此外，可以在瀏覽器中安裝uBlock Origin，這是個過濾瀏覽器內(nèi)容的擴展程序，以及AdGuard Home等廣告攔截器。

其次，安裝一款防火墻，這位網(wǎng)友推薦了Little Snitch，可用于監(jiān)視應(yīng)用程序，以阻止或允許它們通過高級規(guī)則連接到網(wǎng)絡(luò)。（某些惡意軟件檢測到Little Snitch時，還會自動刪除）

最后，不要從不明來源安裝軟件。

無獨有偶

“銀絲雀”并非第一款針對M1系列Mac的惡意軟件。

事實上，就在一周前，還有人發(fā)現(xiàn)了另一款針對M1的惡意軟件GoSearch22。

這是一個惡意廣告軟件Pirrit的“升級版”，針對M1搭載的ARM64架構(gòu)，對軟件進行了對應(yīng)的修改。

GoSearch22能夠持續(xù)攻擊Mac設(shè)備，且普通用戶難以將其刪除。

它會將自己隱蔽成一個“瀏覽器擴展程序”，從Safari、Chrome等Mac瀏覽器上搜集數(shù)據(jù)，然后強制展示優(yōu)惠券、廣告橫幅和惡意彈窗。

研究人員推測，GoSearch22的目的，是從廣告、用戶搜索結(jié)果中牟利，此外，也可能在未來開發(fā)出更多惡意功能。

目前，蘋果已經(jīng)撤銷了Pirrit開發(fā)商使用的開發(fā)者證書。

但這些惡意軟件接二連三地出現(xiàn)，也在逼迫著殺毒引擎進行升級。

殺毒軟件亟待升級

就在上周，專家們利用GoSearch22，對一系列殺毒引擎進行了“測試”。

他們發(fā)現(xiàn)，竟然有接近15%的殺毒引擎，沒能檢測出GoSearch22的存在，但基本都能檢測出它的上一個版本Pirrit。

也就是說，已有的殺毒引擎，仍然在針對x86_64平臺進行防護，然而對于根據(jù)ARM架構(gòu)編寫的惡意軟件，卻沒有“招架之力”。

意味著，這些針對x86_64平臺編寫的病毒分析工具或防病毒引擎，可能無法處理ARM64二進制文件。

因此，能否檢測出這些為ARM架構(gòu)編寫的惡意軟件（“銀絲雀”、GoSearch22等），已經(jīng)成為殺毒軟件評判的新標準。

在殺毒軟件與惡意軟件的“博弈”之下，如何進行軟件安全迭代升級？

M1還有很長的路要走。

完整檢測方法：

https://redcanary.com/blog/clipping-silver-sparrows-wings/