[[383784]]

 繼新的一年在野外發(fā)現(xiàn)首批針對(duì)Apple M1芯片的惡意軟件后幾天，研究人員又披露了另一個(gè)以前未被發(fā)現(xiàn)的惡意軟件，截止發(fā)稿時(shí)，該惡意軟件已在大約30000臺(tái)運(yùn)行Intel x86_64的Mac和iPhone制造商的M1處理器中被發(fā)現(xiàn)。

然而，該行動(dòng)的最終目標(biāo)目前還不得而知，由于缺乏下一階段或最終的有效載荷，研究人員無法確定其傳播時(shí)間表以及攻擊是否還在積極發(fā)展中。

目前網(wǎng)絡(luò)安全公司Red Canary已該惡意軟件命名為“Silver Sparrow”，且發(fā)現(xiàn)了兩種不同版本的惡意軟件，第一個(gè)僅針對(duì)Intel x86_64編譯，并于2020年8月31日上傳到VirusTotal(版本1)，第二個(gè)變種1月22日提交到數(shù)據(jù)庫的兼容英特爾x86_64和M1 ARM64架構(gòu)(版本2)。

鑒于 Silver Sparrow 二進(jìn)制文件 “似乎還沒有那么大的作用”，Red Canary 將其稱為 “旁觀者二進(jìn)制文件 "”。當(dāng)在基于英特爾的 Mac 上執(zhí)行時(shí)，惡意包只是顯示了一個(gè)帶有 “Hello, World!”信息的空白窗口，而蘋果 silicon 二進(jìn)制文件則會(huì)導(dǎo)致一個(gè)紅色窗口出現(xiàn)，上面寫著 “You did it!”。

對(duì)此Red Canary的托尼·蘭伯特(Tony Lambert)解釋到：

• Mach-O編譯的二進(jìn)制文件似乎并沒有做太多，因此我們一直將它們稱為“旁觀者二進(jìn)制文件。我們無法確定惡意軟件將分配什么樣的有效載荷，是否已經(jīng)交付和刪除了有效載荷或攻擊者未來是否有要計(jì)劃傳播的時(shí)間表。

Malwarebytes的數(shù)據(jù)顯示，截至2月17日，29139個(gè)macOS終端已在153個(gè)國(guó)家/地區(qū)被大量檢測(cè)到，包括美國(guó)、英國(guó)、加拿大、法國(guó)和德國(guó)。

盡管目標(biāo)macOS平臺(tái)存在差異，但這兩個(gè)示例遵循相同的操作方法：使用macOS Installer JavaScript API通過動(dòng)態(tài)生成寫入目標(biāo)文件系統(tǒng)的兩個(gè)Shell腳本來執(zhí)行攻擊命令。

盡管“agent.sh”在安裝結(jié)束時(shí)立即執(zhí)行，以通知AWS命令和控制(C2)服務(wù)器安裝成功，但“verx.sh”每小時(shí)運(yùn)行一次，聯(lián)系C2服務(wù)器以下載和執(zhí)行其他操作。

此外，該惡意軟件還具有完全從受攻擊的設(shè)備上刪除其存在的能力，這表明與活動(dòng)有關(guān)的攻擊者可能參與過隱藏技術(shù)的開發(fā)。

目前蘋果已經(jīng)得知了這個(gè)攻擊方法并撤銷了與Apple Developer ID的Saotia Seay (v1)和Julie Willey (v2)簽署的二進(jìn)制文件，從而阻止了進(jìn)一步的安裝。

Silver Sparrow是第二種惡意軟件，其中包含可在Apple的新M1芯片上本地運(yùn)行的代碼。上周發(fā)現(xiàn)的一個(gè)名為GoSearch22的Safari廣告軟件擴(kuò)展，已將其移植到可在由新處理器驅(qū)動(dòng)的最新一代Mac上運(yùn)行。據(jù)悉，最先發(fā)現(xiàn)該惡意軟件的是一位名叫Partick Wardle的安全研究人員。他發(fā)現(xiàn)了M1平臺(tái)上一款名為GoSearch22.app的惡意軟件的存在。該惡意擴(kuò)展是最古老且最活躍的Mac廣告軟件之一，一直以不斷變化以規(guī)避檢測(cè)而著稱。GoSearch22廣告軟件表現(xiàn)為一個(gè)正版的Safari瀏覽器擴(kuò)展，但會(huì)收集用戶數(shù)據(jù)，并提供大量的廣告，彈出窗口，彈出惡意網(wǎng)站的鏈接等。Gosearch22的運(yùn)行采用的是M1兼容代碼的形式。雖然該惡意程序的代碼邏輯在不同平臺(tái)是相同的， 殺毒軟件可以輕易的檢測(cè)出intel-x86版本，但面對(duì)ARM-M1版本卻無動(dòng)于衷 。因此截止到目前，大多數(shù)殺毒軟件都無法對(duì)M1版本的該惡意軟件做到識(shí)別查殺。

Lambert說:

• 盡管我們還沒有觀察到Silver Sparrow可以提供額外的惡意載荷，但其前瞻性的M1芯片兼容性、全球范圍的傳播、相對(duì)較高的感染率和操作成熟度表明，Silver Sparrow是一個(gè)相當(dāng)嚴(yán)重的威脅，其獨(dú)特的存儲(chǔ)位置可以在接到通知時(shí)立馬下載惡意有效載荷。

Red Canary 目前分享了檢測(cè)一系列 macOS 攻擊的方法，但這些步驟并不是專門針對(duì)檢測(cè) Silver Sparrow 的：

1.尋找一個(gè)似乎是 PlistBuddy 的進(jìn)程，與包含以下內(nèi)容的命令行一起執(zhí)行：aunchAgents and RunAtLoad and true. 這個(gè)分析可以幫助我們找到多個(gè) macOS 惡意軟件家族建立 LaunchAgent 的持久性。

2.尋找一個(gè)似乎是 sqlite3 的進(jìn)程，該進(jìn)程與以下命令行一起執(zhí)行。LSQuarantine. 這個(gè)分析可以幫助我們找到多個(gè) macOS 惡意軟件系列，操縱或搜索下載文件的元數(shù)據(jù)。

3.尋找一個(gè)似乎是 curl 執(zhí)行進(jìn)程，該進(jìn)程的命令行包含：s3.amazonaws.com. 這個(gè)分析可以幫助我們找到多個(gè)使用 S3 buckets 進(jìn)行分發(fā)的 macOS 惡意軟件家族。

現(xiàn)在跡象表明，越來越多的惡意軟件開始盯上蘋果 M1 Mac 設(shè)備。

本文翻譯自：https://thehackernews.com/2021/02/new-silver-sparrow-malware-infected.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。