網(wǎng)絡(luò)安全公司Red Canary上周發(fā)布了有關(guān)一種名為Silver Sparrow的Mac新惡意軟件的調(diào)查結(jié)果。該惡意軟件是第一個(gè)包含針對(duì)Apple新型M1芯片的本機(jī)代碼的惡意軟件。但是，對(duì)該惡意軟件的未知信息實(shí)際上比已知的更有趣!

[[384806]]

安裝

我們知道該惡意軟件是通過(guò)名為update.pkg或updater.pkg的Apple安裝程序包(.pkg文件)安裝的。但是，我們不知道這些文件是如何傳遞給用戶的。

這些.pkg文件包含JavaScript代碼，這些代碼可以在安裝真正開(kāi)始之前就開(kāi)始運(yùn)行。然后會(huì)詢問(wèn)用戶是否要允許程序運(yùn)行以“確定是否可以安裝軟件”。

這意味著，如果您單擊了“繼續(xù)”，然后考慮了一下之后又退出了安裝程序，那就已經(jīng)遲了。您已經(jīng)被感染了。

惡意軟件生命周期

惡意JavaScript代碼為當(dāng)前用戶安裝了一個(gè)啟動(dòng)代理plist文件，該文件被設(shè)計(jì)為每小時(shí)啟動(dòng)一次名為verx.sh的腳本，該腳本具有多個(gè)功能。

首先，它將與以前托管在Amazon AWS上的命令和控制服務(wù)器聯(lián)系。在分析時(shí)，它返回的數(shù)據(jù)是這樣的：

接下來(lái)，惡意軟件將檢查文件~/Library/._insu。從Malwarebytes數(shù)據(jù)來(lái)看，這似乎是一個(gè)零字節(jié)的文件，并且惡意軟件只是將其用作標(biāo)記來(lái)指示應(yīng)刪除自身。在本例中，腳本執(zhí)行了這一操作，然后退出。

最后，它將嘗試確定是否存在較新版本的惡意軟件(如果尚未安裝最終的有效負(fù)載，情況將總是如此)，如果是，它將從來(lái)自命令和控制服務(wù)器的數(shù)據(jù)downloadUrl參數(shù)提供的URL下載有效payload。

但是，從數(shù)據(jù)中可以看出，在分析時(shí)，下載URL為空白。盡管我們知道腳本會(huì)將有效payload存儲(chǔ)在/ tmp / verx上，但我們尚未在任何受感染的計(jì)算機(jī)上看到此有效payload的任何實(shí)例。

如果實(shí)際下載了有效payload，它將以args數(shù)據(jù)作為參數(shù)啟動(dòng)。

.pkg文件與JavaScript刪除的文件不同，它還將應(yīng)用程序安裝到Applications文件夾中。根據(jù).pkg文件的版本，此應(yīng)用程序的名稱為“tasker”或“updater”。這兩個(gè)應(yīng)用程序似乎都是非常簡(jiǎn)單的占位符應(yīng)用程序，它們沒(méi)有其他有趣的地方。

在野的Silver Sparrow

Malwarebytes的研究人員與紅金絲雀的研究人員在他們的發(fā)現(xiàn)上進(jìn)行了合作，并在這一點(diǎn)上收集了有關(guān)感染的重要數(shù)據(jù)。在撰寫(xiě)本文時(shí)，我們已經(jīng)看到39,080臺(tái)具有Malwarebytes檢測(cè)到的Silver Sparrow組件的特殊計(jì)算機(jī)。

這些檢測(cè)主要集中在美國(guó)，超過(guò)25,000臺(tái)特殊計(jì)算機(jī)被檢測(cè)到帶有Silver Sparrow。當(dāng)然，這也是因?yàn)镸alwarebytes在美國(guó)有大量客戶群的原因，但是通過(guò)在164個(gè)國(guó)家的檢測(cè)可以發(fā)現(xiàn)，該惡意軟件的確非常普遍。

Silver Sparrow在各個(gè)國(guó)家的檢測(cè)情況

檢測(cè)到的路徑顯示出一種相當(dāng)有趣的模式。實(shí)際上，絕大多數(shù)“感染”由._insu文件表示，并且存在該文件的計(jì)算機(jī)沒(méi)有任何其他組件(與預(yù)期的一樣)。

Malwarebytes的檢測(cè)

結(jié)論

目前，我們還沒(méi)有看到/tmp/verx有效payload，沒(méi)有受感染的計(jì)算機(jī)安裝它。就像Red Canary所說(shuō)，這意味著我們對(duì)該惡意軟件的意圖知之甚少。

是的，Malwarebytes保護(hù)您的Mac免受Silver Sparrow的攻擊。

來(lái)自命令和控制服務(wù)器(upbuchupsf)的數(shù)據(jù)中的args值看起來(lái)類似于廣告軟件經(jīng)常使用的附屬代碼。但是，我們不能基于一個(gè)十個(gè)字符的字符串進(jìn)行假設(shè)，因?yàn)檫@樣的假設(shè)很容易是錯(cuò)誤的。畢竟，出售給多個(gè)人并由其使用的惡意軟件很可能會(huì)包含某種“客戶代碼”。

有趣的是，._insu文件的數(shù)量如此之多，由于此文件表明惡意軟件應(yīng)刪除自身(盡管我們不知道文件是如何創(chuàng)建的)，因此這是一個(gè)有力地證據(jù)，表明這以前可能是受感染的計(jì)算機(jī)。

因此，這種感染很有可能在最近的某個(gè)時(shí)候出現(xiàn)過(guò)，但是操作員發(fā)出了一個(gè)無(wú)聲的“kill”命令，導(dǎo)致惡意軟件刪除了自己。這可能對(duì)應(yīng)于最新的惡意安裝程序的首次出現(xiàn)，該惡意軟件安裝程序已上載到VirusTotal，這可以向創(chuàng)建者表明該惡意軟件已被發(fā)現(xiàn)，當(dāng)然也有可能是由其他事件提示的。

根據(jù)Red Canary的調(diào)查結(jié)果，這些機(jī)器不太可能被長(zhǎng)時(shí)間感染，因?yàn)檫@兩個(gè)命令和控制服務(wù)器域是在2020年8月和2020年12月注冊(cè)的。

Malwarebytes檢測(cè)這些文件為OSX.SilverSparrow。

本文翻譯自：

https://blog.malwarebytes.com/mac/2021/02/the-mystery-of-the-silver-sparrow-mac-malware/