Nuevo malware ‘Silver Sparrow’ infectó a casi 30.000 equipos Apple

Días después de que se descubriera el primer malware dirigido a los chips Apple, investigadores revelaron otra pieza de software malicioso no detectada previamente que se encontró en aproximadamente 30.000 Macs que ejecutan Intel x86_64 y los procesadores M1 del fabricante de iPhone. Sin embargo, el objetivo final de la operación sigue siendo una especie […]

Días después de que se descubriera el primer malware dirigido a los chips Apple, investigadores revelaron otra pieza de software malicioso no detectada previamente que se encontró en aproximadamente 30.000 Macs que ejecutan Intel x86_64 y los procesadores M1 del fabricante de iPhone.

Sin embargo, el objetivo final de la operación sigue siendo una especie de enigma, ya que la falta de una siguiente etapa o carga útil final deja a los investigadores inseguros de su cronograma de distribución y si la amenaza está en desarrollo activo.

Al llamar al malware “Silver Sparrow”, la firma de ciberseguridad Red Canary dijo que identificó dos versiones diferentes del malware: una compilada solo para Intel x86_64 y cargada en VirusTotal el 31 de agosto de 2020 (versión 1), y una segunda variante enviada a la base de datos. el 22 de enero es compatible con las arquitecturas Intel x86_64 y M1 ARM64 (versión 2).

Para aumentar el misterio, el binario x86_64, al ejecutarse, simplemente muestra el mensaje “¡Hola, mundo!” mientras que el binario M1 dice “¡Lo hiciste!”, que los investigadores sospechan que se está utilizando como marcador de posición.

“Los binarios compilados de Mach-O no parecen hacer mucho […] y por eso los hemos estado llamando ‘binarios transeúntes'”, dijo Tony Lambert de Red Canary.

“No tenemos forma de saber con certeza qué carga útil distribuirá el malware, si una carga útil ya se ha entregado y eliminado, o si el adversario tiene una línea de tiempo futura para la distribución”, agregó Lambert.

Los 29.139 puntos finales de macOS están ubicados en 153 países al 17 de febrero, incluidos altos volúmenes de detección en los EE. UU., El Reino Unido, Canadá, Francia y Alemania, según datos de Malwarebytes.

A pesar de la diferencia en la plataforma macOS objetivo, las dos muestras siguen el mismo modus operandi: usar la API JavaScript del instalador de macOS para ejecutar comandos de ataque generando dinámicamente dos scripts de shell que se escriben en el sistema de archivos del objetivo.