Nowości

Nowe złośliwe oprogramowanie znalezione na 30 000 komputerów Mac jest zaskoczeniem dla specjalistów ds. Bezpieczeństwa

Nowe złośliwe oprogramowanie znalezione na 30 000 komputerów Mac jest zaskoczeniem dla specjalistów ds. Bezpieczeństwa

Getty Images

Wcześniej niewykryty fragment złośliwego oprogramowania znaleziony na prawie 30 000 komputerów Mac na całym świecie wywołuje intrygi w kręgach bezpieczeństwa, które wciąż próbują dokładnie zrozumieć, co robi i czemu służy jego zdolność do autodestrukcji.

Raz na godzinę zainfekowane komputery Mac sprawdzają serwer kontrolny, aby sprawdzić, czy są jakieś nowe polecenia, które złośliwe oprogramowanie powinno uruchomić, lub pliki binarne do wykonania. Jak dotąd jednak naukowcy nie zaobserwowali jeszcze dostarczenia jakiegokolwiek ładunku na żadnej z 30 000 zainfekowanych maszyn, co nie oznacza, że ​​ostateczny cel szkodliwego oprogramowania jest nieznany. Brak końcowego ładunku sugeruje, że złośliwe oprogramowanie może zacząć działać po spełnieniu nieznanego warunku.

Co ciekawe, złośliwe oprogramowanie jest wyposażone w mechanizm umożliwiający całkowite usunięcie się, co jest zwykle zarezerwowane dla operacji o wysokim stopniu ukrycia. Jak dotąd jednak nic nie wskazuje na zastosowanie funkcji autodestrukcji, co nasuwa pytanie, dlaczego ten mechanizm istnieje.

Oprócz tych pytań, szkodliwe oprogramowanie wyróżnia się wersją, która działa natywnie na chipie M1, który Apple wprowadził w listopadzie, co czyni go tylko drugim znanym złośliwym oprogramowaniem dla macOS. Złośliwy plik binarny jest jeszcze bardziej tajemniczy, ponieważ używa interfejsu API JavaScript instalatora macOS do wykonywania poleceń. Utrudnia to analizę zawartości pakietu instalacyjnego lub sposobu, w jaki pakiet używa poleceń JavaScript.

Złośliwe oprogramowanie zostało wykryte w 153 krajach, a wykrycia skoncentrowane były w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Francji i Niemczech. Korzystanie z Amazon Web Services i sieci dostarczania treści Akamai zapewnia niezawodne działanie infrastruktury dowodzenia, a także utrudnia blokowanie serwerów. Naukowcy z firmy Red Canary, firmy zajmującej się bezpieczeństwem, która odkryła złośliwe oprogramowanie, nazywają go Silver Sparrow.

Racjonalnie poważne zagrożenie

„Chociaż nie zaobserwowaliśmy jeszcze, aby Silver Sparrow dostarczał dodatkowe złośliwe ładunki, jego wybiegająca w przyszłość kompatybilność chipów M1, globalny zasięg, stosunkowo wysoki wskaźnik infekcji i dojrzałość operacyjna sugerują, że Silver Sparrow jest dość poważnym zagrożeniem, posiadającym wyjątkową pozycję do dostarczania potencjalnie wpływowego ładunek w jednej chwili ”- napisali naukowcy z Red Canary w poście na blogu opublikowanym w piątek. „Biorąc pod uwagę te powody do niepokoju, w duchu przejrzystości chcieliśmy raczej wcześniej niż później podzielić się wszystkim, co wiemy, z szerszą branżą informacyjną”.

Silver Sparrow występuje w dwóch wersjach – jedna z binarną w formacie mach-object skompilowaną dla procesorów Intel x86_64, a druga z binarną Mach-O dla M1. Poniższy obraz przedstawia ogólny przegląd dwóch wersji:

Czerwony kanarek

Jak dotąd badacze nie widzieli, aby którykolwiek z plików binarnych robił wiele, co skłoniło badaczy do określania ich jako „binarne obserwatory”. Co ciekawe, po uruchomieniu plik binarny x86_64 wyświetla słowa „Hello World!” podczas gdy plik binarny M1 brzmi „Zrobiłeś to!” Badacze podejrzewają, że pliki są obiektami zastępczymi, które dają instalatorowi możliwość dystrybucji treści poza wykonywanie JavaScript.

Silver Sparrow to dopiero druga część złośliwego oprogramowania zawierająca kod działający natywnie na nowym chipie M1 firmy Apple. Próbka adware zgłoszona wcześniej w tym tygodniu była pierwszą. Natywny kod M1 działa z większą szybkością i niezawodnością na nowej platformie niż kod x86_64, ponieważ ten pierwszy nie musi być tłumaczony przed wykonaniem. Wielu programistów legalnych aplikacji macOS nadal nie ukończyło procesu ponownej kompilacji kodu dla M1. Wersja M1 Silver Sparrow sugeruje, że jej twórcy wyprzedzają krzywą.

Po zainstalowaniu Silver Sparrow wyszukuje adres URL, z którego został pobrany pakiet instalatora, najprawdopodobniej po to, aby operatorzy złośliwego oprogramowania wiedzieli, które kanały dystrybucji są najbardziej skuteczne. Pod tym względem Silver Sparrow przypomina wcześniej widziane adware macOS. Nie jest jasne, w jaki sposób i gdzie jest dystrybuowane złośliwe oprogramowanie, chociaż sprawdzenie adresu URL sugeruje, że złośliwe wyniki wyszukiwania mogą obejmować co najmniej jeden kanał.

Jedną z najbardziej imponujących rzeczy w Silver Sparrow jest liczba zainfekowanych komputerów Mac. Badacze z Red Canary pracowali ze swoimi odpowiednikami w Malwarebytes, przy czym ta ostatnia grupa znalazła Silver Sparrow zainstalowanego na 29139 punktach końcowych macOS w środę. To znaczące osiągnięcie.

„Dla mnie najbardziej godne uwagi [thing] polega na tym, że znaleziono go na prawie 30 000 punktów końcowych macOS … i są to tylko punkty końcowe, które MalwareBytes może zobaczyć, więc liczba ta jest prawdopodobnie znacznie wyższa ”- napisał Patrick Wardle, ekspert ds. bezpieczeństwa macOS w firmie Jamf, producent oprogramowania dla przedsiębiorstw. „To dość powszechne … i po raz kolejny pokazuje, że złośliwe oprogramowanie macOS staje się coraz bardziej wszechobecne i powszechne, pomimo najlepszych wysiłków Apple”.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook