IT之家2月21日消息 外媒 MacRumors 報道,安全公司 Red Canary 發現了第二個已知的惡意軟件 “Silver Sparrow”(銀雀),它被編譯成原生運行在 M1 Mac 上。
鑑於 “Silver Sparrow”這個名字,據説這個惡意包利用 macOS Installer JavaScript API 執行可疑的命令。不過,在觀察該惡意軟件一週多之後,Red Canary 及其研究夥伴都沒有觀察到最終的有效數據,因此該惡意軟件所帶來的具體威脅仍然是個謎。
儘管如此,Red Canary 表示,該惡意軟件可能是 “一個相當嚴重的威脅”。
“雖然我們還沒有觀察到 Silver Sparrow 提供更多的惡意有效數據,但其前瞻性的 M1 芯片兼容性、全球覆蓋範圍、相對較高的感染率和操作成熟度表明,Silver Sparrow 是一個相當嚴重的威脅,其獨特的定位可以在一瞬間提供潛在的有影響的有效威脅。”
IT之家獲悉,根據 Malwarebytes 提供的數據,截至 2 月 17 日,Silver Sparrow 已經感染了 153 個國家和地區的 29139 個 macOS 系統,其中包括 “美國、英國、加拿大、法國和德國的大量檢測”。Red Canary 沒有説明其中有多少系統是運行在 M1 Mac 設備上。
鑑於 Silver Sparrow 二進制文件 “似乎還沒有那麼大的作用”,Red Canary 將其稱為 “旁觀者二進制文件 "”。當在基於英特爾的 Mac 上執行時,惡意包只是顯示了一個帶有 “Hello, World!”信息的空白窗口,而蘋果 silicon 二進制文件則會導致一個紅色窗口出現,上面寫着 “You did it!”。
Red Canary 分享了檢測一系列 macOS 威脅的方法,但這些步驟並不是專門針對檢測 Silver Sparrow 的。
尋找一個似乎是 PlistBuddy 的進程,與包含以下內容的命令行一起執行:aunchAgents and RunAtLoad and true. 這個分析可以幫助我們找到多個 macOS 惡意軟件家族建立 LaunchAgent 的持久性。
尋找一個似乎是 sqlite3 的進程,該進程與以下命令行一起執行。LSQuarantine. 這個分析可以幫助我們找到多個 macOS 惡意軟件系列,操縱或搜索下載文件的元數據。
尋找一個似乎是 curl 執行進程,該進程的命令行包含:s3.amazonaws.com. 這個分析可以幫助我們找到多個使用 S3 buckets 進行分發的 macOS 惡意軟件家族。
第一款能夠在 M1 Mac 上原生運行的惡意軟件在幾天前才被發現。現在跡象表明,越來越多的惡意軟件開始盯上蘋果 M1 Mac 設備。