Un nouveau malware “Silver Sparrow” a infecté près de 30 000 Apple Macs

Quelques jours après la découverte dans la nature du premier logiciel malveillant ciblant les puces M1 d’Apple, les chercheurs ont dévoilé un autre logiciel malveillant non détecté jusqu’alors, qui a été découvert dans environ 30 000 Macs équipés de processeurs Intel x86_64 et M1 du fabricant de l’iPhone.

Cependant, le but ultime de l’opération reste une sorte d’énigme, car l’absence d’une charge utile de prochaine étape ou finale laisse les chercheurs incertains de son calendrier de distribution et de la possibilité que la menace soit en cours de développement actif.

Appelant le malware “Silver Sparrow”, la société de cybersécurité Red Canary a déclaré avoir identifié deux versions différentes du malware – une compilée uniquement pour Intel x86_64 et téléchargée sur VirusTotal le 31 août 2020 (version 1), et une seconde variante soumise à la base de données le 22 janvier, compatible avec les architectures Intel x86_64 et M1 ARM64 (version 2).

Pour ajouter au mystère, le binaire x86_64, lors de son exécution, affiche simplement le message “Hello, World !” alors que le binaire M1 indique “You did it !”, que les chercheurs soupçonnent d’être utilisé comme substitut.

“Les binaires compilés par Mach-O ne semblent pas faire grand-chose […] et c’est pourquoi nous les avons appelés “binaires de spectateurs””, Tony Lambert de Red Canary a déclaré.

“Nous n’avons aucun moyen de savoir avec certitude quelle charge utile sera distribuée par le malware, si une charge utile a déjà été livrée et retirée, ou si l’adversaire a un futur calendrier de distribution”, a ajouté M. Lambert.

Les 29 139 terminaux macOS sont situés dans 153 pays au 17 février, y compris des volumes élevés de détection aux États-Unis, au Royaume-Uni, au Canada, en France et en Allemagne, selon les données de Malwarebytes.

Malgré la différence de la plate-forme macOS ciblée, les deux échantillons suivent le même modus operandi : l’utilisation de l’API JavaScript de l’installateur macOS pour exécuter des commandes d’attaque en générant dynamiquement deux scripts shell qui sont écrits dans le système de fichiers de la cible.

Alors que “agent.sh” s’exécute immédiatement à la fin de l’installation pour informer un serveur de commande et de contrôle (C2) AWS d’une installation réussie, “verx.sh” s’exécute une fois par heure, contactant le serveur C2 pour du contenu supplémentaire à télécharger et à exécuter.

De plus, le malware est capable d’effacer complètement sa présence de l’hôte compromis, ce qui suggère que les acteurs associés à la campagne peuvent être motivés par des techniques de furtivité.

En réponse à ces conclusions, Apple a révoqué les binaires signés avec les développeurs Apple Saotia Seay (v1) et Julie Willey (v2), empêchant ainsi toute nouvelle installation.

Silver Sparrow est le deuxième malware à contenir du code qui s’exécute en natif sur la nouvelle puce M1 d’Apple. Une extension de logiciel publicitaire pour Safari appelée GoSearch22 a été identifiée la semaine dernière comme ayant été portée pour fonctionner sur la dernière génération de Macs équipés des nouveaux processeurs.

“Bien que nous n’ayons pas encore observé Silver Sparrow livrer des charges utiles malveillantes supplémentaires, sa compatibilité avec les puces M1, sa portée mondiale, son taux d’infection relativement élevé et sa maturité opérationnelle suggèrent que Silver Sparrow est une menace raisonnablement sérieuse, positionnée de manière unique pour livrer une charge utile potentiellement impactante à tout moment”, a déclaré M. Lambert.



Estimez votre maison en ligne