Segundo malware que ataca M1 dos Macs da Apple foi descoberto

O segundo malware conhecido que foi compilado para rodar nativamente em M1 Macs foi descoberto pela empresa de segurança Red Canary. Recebendo o nome de “Silver Sparrow”, o pacote mal-intencionado potencializa a API do MacOS Installer JavaScript para executar comandos suspeitos.

Depois de observar o malware por mais de uma semana, no entanto, nem o Red Canary nem seus parceiros de pesquisa observaram uma carga útil final, então a ameaça exata que o malware representa permanece um mistério.

No entanto, a Red Canary disse que o malware pode ser uma ameaça séria: “Embora não tenhamos observado o Silver Sparrow entregando cargas maliciosas adicionais ainda, sua compatibilidade de chip M1, alcance global, taxa de infecção relativamente alta e maturidade operacional sugerem que o Silver Sparrow é uma ameaça razoavelmente séria, exclusivamente posicionada para entregar uma carga útil potencialmente impactante a qualquer momento.”

De acordo com dados fornecidos pela Malwarebytes, “Silver Sparrow” infectou 29.139 sistemas macOS em 153 países em 17 de fevereiro, incluindo “altos volumes de detecção nos Estados Unidos, Reino Unido, Canadá, França e Alemanha”.

Quando executado em Macs baseados em Intel, o pacote malicioso simplesmente mostra uma janela em branco com um “Hello, World!”, enquanto o processador de silício da Apple leva a uma janela vermelha que diz “Você conseguiu!”

M1 da Apple

Métodos compartilhados do Red Canary para detectar uma ampla gama de ameaças do macOS, mas as etapas não são específicas para detectar o “Silver Sparrow”: “Procure um processo que pareça ser o PlistBuddy executando em conjunto com uma linha de comando contendo o seguinte: LaunchAgents e RunAtLoad e true. Essa análise nos ajuda a encontrar várias famílias de malware macOS que estabelecem a persistência do LaunchAgent.”

“Procure um processo que pareça ser sqlite3 executando em conjunto com uma linha de comando que contenha: LSQuarantine. Essa análise nos ajuda a encontrar várias famílias de malware macOS manipulando ou pesquisando metadados para arquivos baixados.”

“Procure um processo que pareça ser curl em execução em conjunto com uma linha de comando que contém: s3.amazonaws.com. Essa análise nos ajuda a encontrar várias famílias de malware macOS usando baldes S3 para distribuição.”

A primeira peça de malware capaz de rodar nativamente em M1 Macs foi descoberta há poucos dias. Detalhes técnicos sobre esse segundo malware podem ser encontrados na postagem do blog do Red Canary.

Fonte: ArsTechnica

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here