M1 Macs被其他恶意软件作为目标,确切的威胁仍然是个谜
安全公司Red Canary发现了第二种已知的恶意软件,该恶意软件已被编译为在M1 Mac上本地运行。
命名为“ Silver Sparrow”的恶意程序包据说利用了macOS Installer JavaScript API执行可疑命令。但是,在观察恶意软件一周之后,Red Canary及其研究合作伙伴都没有观察到最终的有效负载,因此,该恶意软件构成的确切威胁仍然是个谜。
尽管如此,Red Canary说该恶意软件可能是“相当严重的威胁”:
尽管我们尚未观察到Silver Sparrow可以提供其他恶意有效负载,但是其前瞻性的M1芯片兼容性,全球覆盖范围,相对较高的感染率以及操作成熟度表明Silver Sparrow是一个相当严重的威胁,具有独特的定位,可以提供可能产生影响的有效负载马上通知。
根据Malwarebytes提供的数据,截至2月17日,“ Silver Sparrow”已经感染了153个国家的29,139个macOS系统,其中包括“在美国,英国,加拿大,法国和德国的大量检测”。Red Canary没有指定这些系统中有多少是M1 Macs(如果有)。
鉴于“ Silver Sparrow”二进制文件“似乎还没有做得那么多”,Red Canary将它们称为“旁观者二进制文件”。当在基于Intel的Mac上执行时,该恶意软件包仅显示带有“ Hello,World!”的空白窗口。消息,而苹果硅二进制文件导致显示“您做到了!”的红色窗口。
Red Canary共享了用于检测多种macOS威胁的方法,但是这些步骤并非特定于检测“ Silver Sparrow”:
-查找包含PlistBuddy并与包含以下内容的命令行一起执行的进程:LaunchAgents,RunAtLoad和true。这种分析有助于我们找到多个建立LaunchAgent持久性的macOS恶意软件家族。
-查找
包含sqlite3的进程,并与包含LSQuarantine的命令行一起执行。这种分析有助于我们找到操纵或搜索下载文件的元数据的多个macOS恶意软件家族。
-寻找一个看起来像curl的进程,并与包含s3.amazonaws.com的命令行一起执行。此分析有助于我们使用S3存储桶进行分发来找到多个macOS恶意软件家族。