继新的一年在野外发现首批针对Apple M1芯片的恶意软件后几天,研究人员又披露了另一个以前未被发现的恶意软件,截止发稿时,该恶意软件已在大约30000台运行Intel x86_64的Mac和iPhone制造商的M1处理器中被发现。
然而,该行动的最终目标目前还不得而知,由于缺乏下一阶段或最终的有效载荷,研究人员无法确定其传播时间表以及攻击是否还在积极发展中。
目前网络安全公司Red Canary已该恶意软件命名为“Silver Sparrow”,且发现了两种不同版本的恶意软件,第一个仅针对Intel x86_64编译,并于2020年8月31日上传到VirusTotal(版本1),第二个变种1月22日提交到数据库的兼容英特尔x86_64和M1 ARM64架构(版本2)。
鉴于 Silver Sparrow 二进制文件 “似乎还没有那么大的作用”,Red Canary 将其称为 “旁观者二进制文件 "”。当在基于英特尔的 Mac 上执行时,恶意包只是显示了一个带有 “Hello, World!”信息的空白窗口,而苹果 silicon 二进制文件则会导致一个红色窗口出现,上面写着 “You did it!”。
对此Red Canary的托尼·兰伯特(Tony Lambert)解释到:
Malwarebytes的数据显示,截至2月17日,29139个macOS终端已在153个国家/地区被大量检测到,包括美国、英国、加拿大、法国和德国。
尽管目标macOS平台存在差异,但这两个示例遵循相同的操作方法:使用macOS Installer JavaScript API通过动态生成写入目标文件系统的两个Shell脚本来执行攻击命令。
尽管“agent.sh”在安装结束时立即执行,以通知AWS命令和控制(C2)服务器安装成功,但“verx.sh”每小时运行一次,联系C2服务器以下载和执行其他操作。
此外,该恶意软件还具有完全从受攻击的设备上删除其存在的能力,这表明与活动有关的攻击者可能参与过隐藏技术的开发。
目前苹果已经得知了这个攻击方法并撤销了与Apple Developer ID的Saotia Seay (v1)和Julie Willey (v2)签署的二进制文件,从而阻止了进一步的安装。
Silver Sparrow是第二种恶意软件,其中包含可在Apple的新M1芯片上本地运行的代码。上周发现的一个名为GoSearch22的Safari广告软件扩展,已将其移植到可在由新处理器驱动的最新一代Mac上运行。据悉,最先发现该恶意软件的是一位名叫Partick Wardle的安全研究人员。他发现了M1平台上一款名为GoSearch22.app的恶意软件的存在。该恶意扩展是最古老且最活跃的Mac广告软件之一,一直以不断变化以规避检测而著称。GoSearch22广告软件表现为一个正版的Safari浏览器扩展,但会收集用户数据,并提供大量的广告,弹出窗口,弹出恶意网站的链接等。Gosearch22的运行采用的是M1兼容代码的形式。虽然该恶意程序的代码逻辑在不同平台是相同的, 杀毒软件可以轻易的检测出intel-x86版本,但面对ARM-M1版本却无动于衷 。因此截止到目前,大多数杀毒软件都无法对M1版本的该恶意软件做到识别查杀。
Lambert说:
Red Canary 目前分享了检测一系列 macOS 攻击的方法,但这些步骤并不是专门针对检测 Silver Sparrow 的:
1.寻找一个似乎是 PlistBuddy 的进程,与包含以下内容的命令行一起执行:aunchAgents and RunAtLoad and true. 这个分析可以帮助我们找到多个 macOS 恶意软件家族建立 LaunchAgent 的持久性。
2.寻找一个似乎是 sqlite3 的进程,该进程与以下命令行一起执行。LSQuarantine. 这个分析可以帮助我们找到多个 macOS 恶意软件系列,操纵或搜索下载文件的元数据。
3.寻找一个似乎是 curl 执行进程,该进程的命令行包含:s3.amazonaws.com. 这个分析可以帮助我们找到多个使用 S3 buckets 进行分发的 macOS 恶意软件家族。
现在迹象表明,越来越多的恶意软件开始盯上苹果 M1 Mac 设备。
本文翻译自:https://thehackernews.com/2021/02/new-silver-sparrow-malware-infected.html如若转载,请注明原文地址。
本文转载自微信公众号「神奇的程序员k」,作者神奇的程序员k。转载本文请联系神...
理论上中本聪已经是世界首富了。王兴在饭否上如是说。 王兴是美团创始人,同样也...
DeFi革命正在如火如荼地进行,并有望挑战传统金融,但除DeFi之外,还有哪些有前...
区块链的诞生是伴随着数字货币的出现,人们通过数字货币发现底层区块链技术有着...
物联网使我们能够简化工作流程,优化资源,并提供更好的客户服务。Avalara的高级...
一年前,一切都变了,大部分人的生活完全转移到网上。事实上,不仅人们的生活和...
微软发布了紧急补丁,以解决Exchange Server中此前未公开的四个安全漏洞。据称,...
1.我是怪人,听歌会流泪,想起谁会不入睡。 2.我的眼泪,是对某人绝口不提的伤...
去中心化到底是什么? 如今在区块链的世界中,当大家分析一个新项目的时候,必然...
本文转载自微信公众号前端先锋(jingchengyideng)。 Web 安全已经是 Web 开发中...