全球近3万台Mac电脑已感染恶意软件Silver Sparrow,尚不清楚其目标
最近几天,安全研究人员连续发现两款针对苹果M1芯片的恶意软件,一款是Silver Sparrow(银雀),另一款是GoSearch 22,而此时距离M1芯片发布才3个月。
据AppInsider 2月22日报道,安全研究公司Red Canary表示全球近3万台Mac电脑已经感染了恶意软件Silver Sparrow,但尚不清楚该恶意软件的目标。
苹果方面表示已撤销Silver Sparrow内二进制档案的开发者凭证,在产品和服务中采用了许多安全性硬件和软件保护,并部署了可以防止威胁产生影响的常规软件更新。
非典型恶意广告软件
根据阻止勒索软件攻击的网站Malwarebytes的数据,截至2月17日,Silver Sparrow感染了153个国家的29139台Mac设备,其中美国、英国、加拿大、法国和德国的集中度更高。
研究人员称,Silver Sparrow并非典型的恶意广告软件。大多数macOS广告软件使用“预安装”和“后安装”脚本来执行命令,或者安装更多的恶意软件,但Silver Sparrow利用JavaScript来执行其命令。使用JavaScript会产生不同的遥测,使其更难根据命令行参数来检测恶意活动。
SilverSparrow使用JavaScript创建shell脚本与命令和控制服务器通信,并创建LaunchAgent Plist XML文件以定期执行shell脚本。
LaunchAgent 会每小时检测控制服务器,确认是否有新的指令。在运行时,恶意软件会检查是否存在~/Library/._insu文件,一旦发现就将删除该文件及所有相关文件。
Silver Sparrow存在两种版本,分别针对英特尔的x86处理器以及搭载苹果M1芯片的新款Mac电脑。
Red Canary指出,两种版本的Silver Sparrow内含的二进制档案尚无太大威胁,x86版本在Mac上执行时,只会跳出一个显示“Hello World!”的窗口,而M1版本执行时则是跳出“You did it!”的红底窗口。
研究人员表示,尽管尚未观察到Silver Sparrow造成的伤害,但考虑到M1芯片的兼容性、感染范围、相对较高的感染率等特性,该恶意软件时非常严重的资料安全威胁。
M1芯片已成为攻击目标
在Silver Sparrow被发现的前几天,研究人员刚刚发现了第一款针对M1芯片的恶意软件GoSearch 22。
该恶意软件由Mac资料安全研究人员Patrick Wardle发现,它是Mac广告软件Pirrit的变体,专门针对M1版本。Pirrit向用户推送欺骗性广告,当用户点击时,就会下载安装流氓软件并暗中收集用户信息。
而变体后的GoSearch 22具有高度混淆性,可以伪装成合法的Safari浏览器扩展程序,默默收集用户浏览数据并投放大量恶意网站广告,导致用户感染更多恶意软件。
GoSearch 22在去年11月获得苹果开发者凭证,并在12月底正式登场,被曝光后,已被苹果撤销开发者凭证。
虽然目前只有MacBook Air、MacBook Pro及Mac mini三款新机搭载了M1芯片,但根据苹果在未来2年内Mac系列产品将全面改用M1芯片的承诺,日后针对M1 芯片的恶意软件将快速增加,受影响的Mac系列产品也将不止3万台,苹果和Mac用户将面临更大挑战。