Le nouveau malware Silver Sparrow a infecté 30 000 appareils Mac

0

Un nouveau malware macOS connu sous le nom de Silver Sparrow a infecté près de 30 000 appareils Mac avec des logiciels malveillants dont l’objectif est mystérieux.

Dans le cadre d’une collaboration entre Red Canary, Malwarebytes et VMware Carbon Black, les chercheurs ont découvert un nouveau malware Mac qui présente des propriétés inhabituelles, notamment un composant explicitement compilé pour la nouvelle puce Apple M1.

Selon Malwarebytes, ce malware a infecté 29 139 appareils Mac dans 153 pays, dont les plus touchés sont les États-Unis, le Royaume-Uni, le Canada, la France et l’Allemagne.

Pas vos malwares habituels

Alors qu’Apple a toujours été fier de la sécurité de macOS, la réalité est que son système d’exploitation est de plus en plus ciblé par les logiciels malveillants, les ransomwares et les adwares.

Dans un nouveau rapport de RedCanary, les chercheurs révèlent un nouveau malware ciblant les appareils Mac qui est différent de la plupart des infections développées pour le système d’exploitation.

Nommé Silver Sparrow, le malware est distribué sous la forme de deux fichiers différents nommés «updater.pkg» [VirusTotal] ou «update.pkg» [VirusTotal]. La seule différence observée par Red Canary est que update.pkg contient à la fois un fichier binaire Intel x86_64 et un fichier binaire Apple M1, tandis que updater.pkg inclut uniquement l’exécutable Intel.

silver sparrow

Contrairement à la plupart des adwares macOS qui utilisent des scripts de «pré-installation» et de «post-installation» pour exécuter des commandes ou installer d’autres logiciels malveillants, Silver Sparrow utilise JavaScript pour exécuter ses commandes. L’utilisation de JavaScript produit des données de télémétrie différentes qui rendent plus difficile la détection des activités malveillantes basées sur des arguments de ligne de commande.

En utilisant JavaScript, SilverSparrow créera des scripts shell exécutés par le malware pour communiquer avec les serveurs de commande et de contrôle et créera des fichiers XML LaunchAgent Plist pour exécuter périodiquement des scripts shell.

script shell

Le LaunchAgent se connectera au serveur de commande et de contrôle du pirate informatique toutes les heures pour vérifier les nouvelles commandes que le malware exécutera.

Pendant l’exécution, le malware vérifiera la présence du fichier ~/Library/._insu, et s’il est trouvé, se supprimera lui-même et tous les fichiers associés. Les chercheurs n’ont pas été en mesure de déterminer ce qui déclenche ce kill switch.

L’objectif de Silver Sparrow est un mystère

Après avoir observé le malware pendant une semaine, les chercheurs de Red Canary n’ont pas pu voir d’autres charges utiles téléchargées et déclenchées par ces contrôles horaires. Ainsi, le but réel du malware reste un mystère.

« En outre, le but ultime de ce malware est un mystère. Nous n’avons aucun moyen de savoir avec certitude quelle charge utile serait distribuée par le malware, si une charge utile a déjà été livrée et supprimée, ou si l’adversaire a un calendrier futur pour la distribution », explique le rapport de Red Canary.

Les binaires Intel et Mach-O inclus avec Silver Sparrow semblent être des espaces réservés pour un malware en développement car leur exécution affiche seulement un écran indiquant « Hello world » ou « You did it! », comme indiqué ci-dessous.

you did it

Malheureusement, la distribution de Silver Sparrow reste également un mystère pour le moment.

« Mis à part le fait qu’il est installé via un .pkg, nous ne savons rien. Nous ne savons pas comment les utilisateurs auraient d’abord trouvé cet installateur. En fait, je suis un peu sceptique sur le fait qu’il soit encore distribué sous cette forme, » a déclaré Thomas Reed de Malwarebytes.

Comment vérifier si vous êtes infecté par le malware Silver Sparrow?

Si vous utilisez Malwarebytes pour Mac, le programme a été mis à jour il ya plus d’une semaine pour détecter si le malware Silver Sparrow est installé.

Pour ceux qui n’utilisent pas Malwarebytes et vous souhaitez vérifier la présence du malware manuellement, vous pouvez utiliser la liste d’action suivante fournie par Red Canary.

  • Recherchez un processus qui semble être PlistBuddy s’exécutant en conjonction avec une ligne de commande contenant ce qui suit: LaunchAgents et RunAtLoad et True. Cette analyse nous aide à trouver plusieurs familles de logiciels malveillants macOS établissant la persistance LaunchAgent.
  • Recherchez un processus qui semble être sqlite3 s’exécutant en conjonction avec une ligne de commande qui contient: LSQuarantine. Cette analyse nous aide à trouver plusieurs familles de logiciels malveillants macOS manipulant ou recherchant des métadonnées pour les fichiers téléchargés.
  • Recherchez un processus qui semble être curl s’exécutant en conjonction avec une ligne de commande qui contient: s3.amazonaws.com. Cette analyse nous aide à trouver plusieurs familles de logiciels malveillants macOS en utilisant des compartiments S3 pour la distribution.

Pour effectuer ces étapes, vous pouvez utiliser les commandes suivantes à partir du terminal :

ps -aex | grep -i buddy
ps -aex | grep -i curl | grep -i amazon
ps -aex | grep -i sqlite3 | grep -i LSQuarantine

S’il ya des processus énumérés dans la sortie, sans compter ceux ci-dessus, vous devez immédiatement scanner votre appareil pour essayer de détecter des logiciels malveillants et l’inspecter de fond en comble.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire