Una pieza de malware no detectada anteriormente que se encuentra en casi 30.000 Mac en todo el mundo está generando intriga en los círculos de seguridad, que todavía están tratando de comprender con precisión qué hace y para qué sirve su capacidad de autodestrucción.
Una vez por hora, los Mac infectados revisan un servidor de control para ver si hay nuevos comandos que el malware debería ejecutar o binarios que ejecutar. Hasta ahora, sin embargo, los investigadores aún no han observado la entrega de ninguna carga útil en ninguna de las 30.000 máquinas infectadas, por lo que se desconoce el objetivo final del malware. La falta de una carga útil final sugiere que el malware puede entrar en acción una vez que se cumpla una condición desconocida.
También es curioso que el malware viene con un mecanismo para eliminarse por completo, una capacidad que normalmente se reserva para operaciones de alto sigilo. Sin embargo, hasta ahora no hay indicios de que se haya utilizado la función de autodestrucción, lo que plantea la cuestión de por qué existe el mecanismo.
Además de esas preguntas, el malware se destaca por una versión que se ejecuta de forma nativa en el chip M1 que Apple presentó en noviembre, lo que lo convierte en la segunda pieza conocida de malware de macOS en hacerlo. El binario malicioso es aún más misterioso, porque utiliza la API de JavaScript del instalador de macOS para ejecutar comandos. Eso hace que sea difícil analizar el contenido del paquete de instalación o la forma en que ese paquete usa los comandos de JavaScript.
El malware se ha encontrado en 153 países y las detecciones se concentran en EE. UU., Reino Unido, Canadá, Francia y Alemania. Su uso de Amazon Web Services y la red de entrega de contenido de Akamai garantiza que la infraestructura de comando funcione de manera confiable y también dificulta el bloqueo de los servidores. Los investigadores de Red Canary, la empresa de seguridad que descubrió el malware, lo llaman Silver Sparrow.
Amenaza razonablemente grave
“Aunque todavía no hemos observado que Silver Sparrow entregue cargas útiles maliciosas adicionales, su compatibilidad con el chip M1 con visión de futuro, su alcance global, su tasa de infección relativamente alta y su madurez operativa sugieren que Silver Sparrow es una amenaza razonablemente seria, en una posición única para ofrecer un impacto carga útil en cualquier momento ”, escribieron los investigadores de Red Canary en un entrada en el blog publicado el viernes. “Teniendo en cuenta estos motivos de preocupación, en un espíritu de transparencia, queríamos compartir todo lo que sabemos con la industria de la seguridad de la información en general más temprano que tarde”.
Silver Sparrow viene en dos versiones: una con un binario en objeto mach formato compilado para procesadores Intel x86_64 y el otro binario Mach-O para el M1. La siguiente imagen ofrece una descripción general de alto nivel de las dos versiones:
Canario rojo
Hasta ahora, los investigadores no han visto ninguno de los binarios hacer mucho, lo que llevó a los investigadores a referirse a ellos como “binarios transeúntes”. Curiosamente, cuando se ejecuta, el binario x86_64 muestra las palabras “¡Hola mundo!” mientras que el binario M1 dice “¡Lo hiciste!” Los investigadores sospechan que los archivos son marcadores de posición para darle al instalador algo para distribuir contenido fuera de la ejecución de JavaScript.
Silver Sparrow es solo la segunda pieza de malware que contiene código que se ejecuta de forma nativa en el nuevo chip M1 de Apple. Una muestra de adware reportada a principios de esta semana fue la primera. El código nativo M1 se ejecuta con mayor velocidad y confiabilidad en la nueva plataforma que el código x86_64 porque el primero no tiene que traducirse antes de ejecutarse. Muchos desarrolladores de aplicaciones legítimas de macOS aún no han completado el proceso de recompilar su código para el M1. La versión M1 de Silver Sparrow sugiere que sus desarrolladores están por delante de la curva.
Una vez instalado, Silver Sparrow busca la URL desde la que se descargó el paquete de instalación, lo más probable es que los operadores de malware sepan qué canales de distribución tienen más éxito. En ese sentido, Silver Sparrow se parece al adware macOS visto anteriormente. No está claro exactamente cómo o dónde se distribuye el malware o cómo se instala. Sin embargo, la verificación de URL sugiere que los resultados de búsqueda maliciosos pueden ser al menos un canal de distribución, en cuyo caso, los instaladores probablemente se harían pasar por aplicaciones legítimas.
Entre las cosas más impresionantes de Silver Sparrow está la cantidad de Macs que ha infectado. Los investigadores de Red Canary trabajaron con sus contrapartes en Malwarebytes, y este último grupo encontró Silver Sparrow instalado en 29,139 puntos finales de macOS a partir del miércoles. Eso es un logro significativo.
“Para mí, el más notable [thing] es que se encontró en casi 30.000 puntos finales de macOS … y estos son solo puntos finales que MalwareBytes puede ver, por lo que es probable que el número sea mucho mayor ”, escribió Patrick Wardle, un experto en seguridad de macOS, en un mensaje de Internet. “Eso está bastante extendido … y una vez más muestra que el malware macOS se está volviendo cada vez más omnipresente y común, a pesar de los mejores esfuerzos de Apple”.
Para aquellos que quieran comprobar si su Mac se ha infectado, Red Canary proporciona indicadores de compromiso al final de su informe.
Source: Ars Technica by arstechnica.com.
*The article has been translated based on the content of Ars Technica by arstechnica.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!
*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.
*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!
![Este es el primer pequeño viaje del vehículo Perseverance al misterioso Marte [FILM] – NOTICIAS](http://ipla.pluscdn.pl/dituel/cp/cr/crce49hqi7x9z5xe9vcjd8b8zphu71ge.jpg)
