Исследователи из Red Canary сообщают, что обнаруженное вредоносное ПО получившее имя "Серебряный воробей" заставляет зараженные компьютеры Mac проверять контрольный сервер один раз в час, но реальная угроза остается загадкой.
Как сообщает Ars Technica, исследователи еще не наблюдали фактической "доставки какой-либо полезной нагрузки" на зараженные машины. Следовательно, конечная цель этого вредоносного ПО неизвестна. Отсутствие окончательной полезной нагрузки предполагает, что вредоносная программа может начать действовать при выполнении неизвестного условия.
Вредоносная программа также имеет собственный механизм "самоуничтожения", но нет никаких доказательств того, что он использовался. Silver Sparrow был обнаружен на 29 139 конечных точках macOS по всему миру:
Вредоносный двоичный файл еще более загадочен, поскольку он использует JavaScript API установщика macOS для выполнения команд. Это затрудняет анализ содержимого установочного пакета или того, как пакет использует команды JavaScript. Вредоносное ПО было обнаружено в 153 странах, а обнаружение сконцентрировано в США, Великобритании, Канаде, Франции и Германии. Использование Amazon Web Services и сети доставки контента Akamai обеспечивает надежную работу командной инфраструктуры, а также усложняет блокировку серверов.
Вредоносная программа Silver Sparrow также изначально работает на чипе Apple M1. Это делает его вторым обнаруженным вредоносным ПО, оптимизированным для Apple Silicon, первое из которых появилось ранее на этой неделе. Оптимизация для чипа M1 в сочетании с такими вещами, как уровень заражения и зрелость — вот что беспокоит исследователей Red Canary:
Хотя мы еще не наблюдали, как Silver Sparrow поставляет дополнительные вредоносные полезные нагрузки, его перспективная совместимость с чипом M1, глобальный охват, относительно высокий уровень заражения и операционная зрелость предполагают, что Silver Sparrow представляет собой достаточно серьезную угрозу, имеющую уникальные возможности для создания потенциально эффективных полезная нагрузка в любой момент. Учитывая эти причины для беспокойства, в духе прозрачности мы хотели скорее поделиться всем, что мы знаем, с более широкой индустрией информационной безопасности