共计 1184 个字符,预计需要花费 3 分钟才能阅读完成。
发现首批针对 Apple M1 芯片的恶意软件后几天,钻研人员披露了另一个以前未被发现的恶意软件,该恶意软件已在大概 30000 台运行 Intel x86_64 的 Mac 和 Apple M1 处理器中发现。
然而,这次口头依然存在一个难题,因为不足下一级或最终有效载荷,钻研人员无奈确定其散布时间表,也不晓得威逼是否正在踊跃开发。
恶意软件存在两个版本
网络安全公司 Red Canary 称这款恶意软件为“Silver Sparrow”,它辨认出了两个不同版本的恶意软件——一个只为英特尔 x8664 编译,并于 2020 年 8 月 31 日上传到 VirusTotal (版本 1),另一个版本于 1 月 22 日上传到数据库,兼容英特尔 x8664 和 M1 ARM64 架构(版本 2)。
更加令人蛊惑的是,x86_64 二进制文件在执行后仅显示音讯“Hello,World!”。而 M1 二进制文件显示为“您做到了!”,钻研人员狐疑该文件已被用作占位符。
Red Canary 的 Tony Lambert 说:“Mach-O 编译的二进制仿佛没有做那么多事件,所以咱们始终称它们为‘旁观者二进制’。”
Tony Lambert 还补充道:“咱们无奈确定恶意软件将调配什么样的有效载荷,是否曾经交付和删除了有效载荷,或者他们是否有将来的调配时间表。”
依据来自 Malwarebytes 的数据,截至 2 月 17 日,29139 个 macOS 端点散布在 153 个国家,其中包含美国、英国、加拿大、法国和德国的大量检测。
只管指标 macOS 平台有所不同,但这两个例子遵循了雷同的操作形式: 应用 macOS 装置器 JavaScript API 来执行攻打命令,动静生成两个写入指标文件系统的 shell 脚本。
只管“agent.sh”在装置完结时立刻执行,以告诉 AWS 命令与管制 (C2) 服务器胜利装置,但“verx.sh”每小时运行一次,与 C2 服务器分割以取得下载和执行的其余内容。
此外,该恶意软件具备从受感化主机中齐全革除其存在的性能,这表明与该流动相干的参与者可能是由“隐身”技术激发的。
苹果已阻止进一步装置,Silver Sparrow 仍是严重威胁
作为对调查结果的回应,苹果曾经撤销了与苹果开发者 ID 的 Saotia Seay (v1)和 Julie Willey (v2)签订的二进制文件,从而阻止了进一步的装置。
Silver Sparrow 是第二种恶意软件,其中蕴含可在苹果的新 M1 芯片上本地运行的代码。上周发现了一个名为 GoSearch22 的 Safari 广告软件扩大,已将其移植到可在由新处理器驱动的最新一代 Mac 上运行。
Tony Lambert 说:“只管咱们还没有察看到 Silver Sparrow 能够提供额定的歹意负载,但它前瞻性的 M1 芯片兼容性、寰球覆盖率、绝对较高的感染率和经营成熟度表明,Silver Sparrow 是一个相当严重的威逼,处于独特的地位,能够在一瞬间提供具备潜在影响力的载荷。”