新型惡意軟體入侵近3萬臺Mac,蘋果採取應對措施

Editor發表於2021-02-23

最近研究人員發現一款macOS惡意軟體(被稱為“Silver Sparrow”),已經感染了分佈在153個國家的近3萬臺英特爾和M1 Mac裝置,引起安全社群的注意。


據悉,Silver Sparrow以兩個不同檔案的形式分發,檔案分別名為updater.pkg、update.pkg。唯一區別是update.pkg同時包含Intel x86_64和Apple M1二進位制檔案,而updater.pkg僅包含Intel可執行檔案。


新型惡意軟體入侵近3萬臺Mac,蘋果採取應對措施


SilverSparrow透過使用JavaScript,建立一個惡意Shell指令碼,每24小時與命令和控制伺服器進行通訊一次。


除此之外,它還有短暫的自毀機制,在執行時,惡意軟體將檢查 ~/Library/._insu 檔案是否存在,如果找到,則會清除感染過程中的任何痕跡。


有意思的是,當Silver Sparrow被安裝在基於Intel晶片的Mac計算機上時,會彈出一個展示“Hello,World!”的視窗,而安裝在使用M1晶片的Mac時,這個視窗會被一個有著紅色背景,以及寫著“You did it!”的視窗所取代。


新型惡意軟體入侵近3萬臺Mac,蘋果採取應對措施


Red Canary研究人員表示:


“雖然目前我們沒有觀察到Silver Sparrow有任何惡意payload,但是鑑於它相容M1晶片、影響範圍波及全球、感染率相對較高以及整項操作都比較成熟,我們有理由懷疑Silver Sparrow是一個相當嚴重的潛在威脅,可以在短時間內載入威力巨大的payload。”


目前,蘋果正在採取措施,以減輕Silver Sparrow帶來的潛在威脅。經確認蘋果已經撤銷了用於簽署惡意包的開發者賬戶證照。雖然這限制了這種特殊的Silver Sparrow變種的傳播,但仍為使用不同證照籤署的類似軟體包敞開了大門。


此外,蘋果公司表示其在硬體和軟體層面都有許多安全措施,並將定期釋出軟體更新,其中包含針對Silver Sparrow等潛在威脅的補丁。



新型惡意軟體入侵近3萬臺Mac,蘋果採取應對措施

公眾號ID:ikanxue

官方微博:看雪安全

商務合作:wsc@kanxue.com


相關文章