Um malware anteriormente não detectado, encontrado em quase 30.000 Macs em todo o mundo, os pesquisadores de segurança ainda estão tentando entender precisamente o que ele faz e para que serve sua capacidade de autodestruição.

Uma vez por hora, os Macs infectados verificam um servidor de controle para ver se há novos comandos que o malware deva executar ou binários para executar. Até agora, no entanto, os pesquisadores ainda não observaram a entrega de qualquer carga em qualquer uma das 30.000 máquinas infectadas, deixando o objetivo final do malware desconhecido. A falta de uma carga final sugere que o malware pode entrar em ação assim que uma condição desconhecida for atendida.

O malware vem com um mecanismo para se autodestruir, um recurso normalmente reservado para operações furtivas. Até agora, porém, não há sinais de que o recurso de autodestruição foi usado, levantando a questão de por que o mecanismo existe.

Além dessas questões, o malware é notável por uma versão que roda nativamente no chip M1 que a Apple lançou em novembro, tornando-o apenas o segundo malware conhecido do macOS a fazer isso. O binário malicioso é ainda mais misterioso porque usa a API JavaScript do MacOS Installer para executar comandos. Isso torna difícil analisar o conteúdo do pacote de instalação ou a maneira como esse pacote usa os comandos JavaScript.

O malware foi encontrado em 153 países, com detecções concentradas nos EUA, Reino Unido, Canadá, França e Alemanha. Seu uso de Amazon Web Services e da rede de distribuição de conteúdo Akamai garante que a infraestrutura de comando funcione de forma confiável e também dificulta o bloqueio dos servidores. Pesquisadores da Red Canary, a empresa de segurança que descobriu o malware, estão chamando o malware de Silver Sparrow.

Ameaça imprevisível

“Embora não tenhamos observado o Silver Sparrow entregando cargas maliciosas adicionais ainda, sua compatibilidade de chip M1 prospectiva, alcance global, taxa de infecção relativamente alta e maturidade operacional sugerem que o Silver Sparrow é uma ameaça razoavelmente séria, exclusivamente posicionada para oferecer um potencial impactante carga útil a qualquer momento”, escreveram pesquisadores do Red Canary em um blog publicado na sexta-feira. “Tendo em vista esses motivos de preocupação, no espírito da transparência, queríamos compartilhar tudo o que sabemos com a indústria de infosec mais ampla, mais cedo ou mais tarde.”

O Silver Sparrow vem em duas versões – uma com um binário no formato Mach-O compilado para processadores Intel x86_64 e a outra binário Mach-O para o M1. 

Até agora, os pesquisadores não viram nenhum dos binários fazer muita coisa, o que os levou a se referir a eles como “binários espectadores”. Curiosamente, quando executado, o binário x86_64 exibe as palavras “Hello World!” enquanto o binário M1 lê “Você conseguiu!” Os pesquisadores suspeitam que os arquivos são espaços reservados para dar ao instalador algo para distribuir conteúdo fora da execução do JavaScript. A Apple revogou o certificado de desenvolvedor para ambos os arquivos binários observadores.

O Silver Sparrow é apenas a segunda peça de malware a conter código que roda nativamente no novo chip M1 da Apple. O código M1 nativo é executado com maior velocidade e confiabilidade na nova plataforma do que o código x86_64 porque o primeiro não precisa ser traduzido antes de ser executado. Muitos desenvolvedores de aplicativos macOS legítimos ainda não concluíram o processo de recompilação de seu código para o M1. A versão M1 do Silver Sparrow sugere que seus desenvolvedores estão à frente da curva.

Depois de instalado, o Silver Sparrow procura o URL do qual o pacote do instalador foi baixado, provavelmente para que os operadores de malware saibam quais canais de distribuição são mais bem-sucedidos. Nesse aspecto, o Silver Sparrow se assemelha ao adware macOS visto anteriormente. Ainda não está claro exatamente como ou onde o malware está sendo distribuído ou como é instalado. A verificação de URL, porém, sugere que os resultados de pesquisa maliciosos podem ser pelo menos um canal de distribuição, caso em que os instaladores provavelmente se passarão por aplicativos legítimos.

Entre as coisas mais impressionantes sobre o Silver Sparrow está o número de Macs que ele infectou. Os pesquisadores da Red Canary com a colaboração do Malwarebytes e outros integrantes, encontraram o Silver Sparrow instalado em 29.139 endpoints do macOS na quarta-feira. 

“Para mim, o mais notável é que ele foi encontrado em quase 30 mil endpoints do macOS … e esses são apenas endpoints que os MalwareBytes podem ver, então o número é provavelmente muito maior”, Patrick Wardle, especialista em segurança do macOS, escreveu em uma mensagem da Internet. “Isso é bastante difundido … e mais uma vez mostra que o malware macOS está se tornando cada vez mais difundido e comum, apesar dos melhores esforços da Apple.”

Para aqueles que desejam verificar se seu Mac foi infectado, o Red Canary fornece indicadores de comprometimento no final de seu relatório.

Fonte: Red Canary via Ars Technica | Imagem via biz-tec.mx

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui