Malware Silver Sparrow

Por GoldSparrow en Mac Malware

Traducir a:

Parece que los ciberdelincuentes están trabajando horas extras y en solo tres meses han comenzado a lanzar amenazas de malware capaces de infectar dispositivos que funcionan con el nuevo chip M1 de Apple. Hasta ahora, un número limitado de productos lanzados han sido impulsados por el chip: MacBook Pro, MacBook Air y Mac Mini presentados por Apple en noviembre de 2020.

El investigador de seguridad de Mac Patrick Wardle descubrió lo que se cree que es la primera cepa de malware que apunta a los nuevos sistemas. La amenaza llamada GoSearch22.app es una versión modificada del adware Pirrit. Solo un par de días después, se lanzó un segundo malware capaz de ejecutarse en arquitecturas M1 ARM64.

La amenaza se llamó Silver Sparrow y presenta varios rasgos que la distinguen del malware macOS habitual. En lugar de depender de scripts de preinstalación y postinstalación para ejecutar comandos, Silver Sparrow aprovecha la API de JavaScript del instalador de macOS. Los investigadores señalan que dicho comportamiento se ha observado antes en software legítimo, pero no tanto como parte de las amenazas de malware.

El mecanismo de persistencia de Silver Sparrow se establece mediante el usuario de un proceso PlistBuddy. Cuando se inicializa, crea un LaunchAgent que transmite instrucciones al sistema de lanzamiento de macOS. El objetivo es establecer una ejecución automática de determinadas tareas. Si Silver Sparrow tiene éxito, dará como resultado un script de shell que obtiene un archivo JSON del servidor de comando y control y lo coloca en el sistema comprometido. El proceso se repetirá cada hora. Luego, el archivo JSON se convertirá en un plist y sus propiedades determinarán cuáles serán las próximas acciones del malware.

La funcionalidad de la arquitectura M1 de Silver Sparrow está contenida dentro de un binario Mach-O extraño. Por ahora, el binario parece ser un marcador de posición que muestra el mensaje "Lo hiciste" actualmente.

El propósito del Silver Sparrow sigue siendo desconocido

Por ahora, no se pudo determinar el objetivo de los piratas informáticos responsables de Silver Sparrow, ya que no se ha observado que la amenaza del malware entregue cargas útiles amenazantes a los sistemas infectados. Sin embargo, los datos recopilados revelan que la amenaza ya ha logrado vulnerar miles de computadoras. Ya se han detectado casi 30.000 víctimas de la amenaza y los usuarios comprometidos se encuentran distribuidos en 153 países. La mayor concentración de víctimas se observó en Estados Unidos, Reino Unido, Canadá, Francia y Alemania.

Silver Sparrow no debe subestimarse. La amenaza tiene un alcance global, una alta tasa de infección, una infraestructura establecida y está lista para atacar los productos más nuevos de Apple. Los ciberdelincuentes pueden, en cualquier momento, optar por instruir a su creación amenazante para que comience a entregar cargas útiles de malware devastadoras.