More

    Novo malware encontrado em 30.000 Macs tem confundido os profissionais de segurança


    Um malware anteriormente não detectado, encontrado em quase 30.000 Macs em todo o mundo, está gerando intriga nos círculos de segurança, que ainda estão tentando entender precisamente o que ele faz e para que serve sua capacidade de autodestruição.

    Uma vez por hora, os Macs infectados verificam um servidor de controle para ver se há novos comandos que o malware deve executar ou binários para executar. Até agora, no entanto, os pesquisadores ainda não observaram a entrega de qualquer carga em qualquer uma das 30.000 máquinas infectadas, deixando o objetivo final do malware desconhecido. A falta de uma carga final sugere que o malware pode entrar em ação assim que uma condição desconhecida for atendida.

    Também curioso, o malware vem com um mecanismo para se remover completamente, um recurso normalmente reservado para operações de alta furtividade. Até agora, porém, não há sinais de que o recurso de autodestruição foi usado, levantando a questão de por que o mecanismo existe.

    Além dessas questões, o malware é notável por uma versão que roda nativamente no chip M1 que a Apple lançou em novembro, tornando-o apenas o segundo malware conhecido do macOS a fazer isso. O binário malicioso é ainda mais misterioso, porque usa a API JavaScript do instalador do macOS para executar comandos. Isso torna difícil analisar o conteúdo do pacote de instalação ou a maneira como esse pacote usa os comandos JavaScript.

    O malware foi encontrado em 153 países, com detecções concentradas nos EUA, Reino Unido, Canadá, França e Alemanha. Seu uso de Amazon Web Services e da rede de distribuição de conteúdo Akamai garante que a infraestrutura de comando funcione de forma confiável e também dificulta o bloqueio dos servidores. Pesquisadores da Red Canary, a empresa de segurança que descobriu o malware, estão chamando o malware de Silver Sparrow.

    Ameaça razoavelmente séria

    “Embora não tenhamos observado o Silver Sparrow entregando cargas maliciosas adicionais ainda, sua compatibilidade de chip M1 prospectiva, alcance global, taxa de infecção relativamente alta e maturidade operacional sugerem que o Silver Sparrow é uma ameaça razoavelmente séria, exclusivamente posicionada para entregar um carga útil a qualquer momento ”, escreveram pesquisadores do Red Canary em um blog publicado na sexta-feira. “Tendo em vista esses motivos de preocupação, no espírito da transparência, queríamos compartilhar tudo o que sabemos com a indústria de infosec mais ampla, mais cedo ou mais tarde.”

    Silver Sparrow vem em duas versões – uma com um binário no formato mach-objeto compilado para processadores Intel x86_64 e a outra binário Mach-O para o M1. A imagem abaixo oferece uma visão geral de alto nível das duas versões:

    Canário Vermelho

    Até agora, os pesquisadores não viram nenhum dos binários fazer muita coisa, o que os levou a se referir a eles como “binários espectadores”. Curiosamente, quando executado, o binário x86_64 exibe as palavras “Hello World!” enquanto o binário M1 lê “Você conseguiu!” Os pesquisadores suspeitam que os arquivos são marcadores de posição para dar ao instalador algo para distribuir conteúdo fora da execução do JavaScript. A Apple revogou o certificado de desenvolvedor para ambos os arquivos binários observadores.

    Silver Sparrow é apenas a segunda peça de malware a conter código que roda nativamente no novo chip M1 da Apple. Uma amostra de adware relatada no início desta semana foi a primeira. O código M1 nativo é executado com maior velocidade e confiabilidade na nova plataforma do que o código x86_64 porque o primeiro não precisa ser traduzido antes de ser executado. Muitos desenvolvedores de aplicativos macOS legítimos ainda não concluíram o processo de recompilação de seu código para o M1. A versão M1 do Silver Sparrow sugere que seus desenvolvedores estão à frente da curva.

    Depois de instalado, o Silver Sparrow procura o URL do qual o pacote do instalador foi baixado, provavelmente para que os operadores de malware saibam quais canais de distribuição são mais bem-sucedidos. Nesse aspecto, o Silver Sparrow lembra o adware macOS visto anteriormente. Ainda não está claro exatamente como ou onde o malware está sendo distribuído ou como é instalado. A verificação de URL, porém, sugere que os resultados de pesquisa maliciosos podem ser pelo menos um canal de distribuição, caso em que os instaladores provavelmente se passarão por aplicativos legítimos.

    Entre as coisas mais impressionantes sobre o Silver Sparrow está o número de Macs que ele infectou. Os pesquisadores do Red Canary trabalharam com seus colegas no Malwarebytes, com o último grupo encontrando o Silver Sparrow instalado em 29.139 endpoints do macOS na quarta-feira. Essa é uma conquista significativa.

    “Para mim, o mais notável [thing] é que ele foi encontrado em quase 30 mil endpoints macOS … e esses são apenas endpoints que os MalwareBytes podem ver, então o número é provavelmente muito maior ”, escreveu Patrick Wardle, especialista em segurança do macOS, em uma mensagem na Internet. “Isso é bastante difundido … e mais uma vez mostra que o malware macOS está se tornando cada vez mais difundido e comum, apesar dos melhores esforços da Apple.”

    Para aqueles que desejam verificar se seu Mac foi infectado, o Red Canary fornece indicadores de comprometimento no final de seu relatório.


    Artigos Recentes

    Cor da lâmpada Wyze: a única lâmpada inteligente barata que vale a pena por aí

    “É tão bom e barato que talvez você nunca mais volte para a Philips Hue.” Saída realmente brilhante As cores estão muito saturadas Não requer ponte Preço...

    Yield Guild Games permitirá que os jogadores ganhem dinheiro com jogos NFT

    Chegou a hora de ganhar dinheiro com jogos, de acordo com a Yield Guild Games, que arrecadou US...

    UFC PPV: Quanto custa na ESPN +?

    A nova temporada do UFC começou oficialmente com o UFC 259: Blachowicz vs. Adesanya - o terceiro grande evento pay-per-view de 2021 com...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui