新型恶意软件“Silver Sparrow”已感染了近三万台Mac
bytes的数据显示,截至2月17日,29139个macOS终端已在153个国家/地区被大量检测到,包括美国、英国、加拿大、法国和德国。 尽管目标macOS平台存在差异,但这两个示例遵循相同的操作方法:使用macOS Installer JavaScript API通过动态生成写入目标文件系统的两个Shell脚本来执行攻击命令。 尽管“agent.sh”在安装结束时立即执行,以通知AWS命令和控制(C2)服务器安装成功,但“verx.sh”每小时运行一次,联系C2服务器以下载和执行其他操作。 此外,该恶意软件还具有完全从受攻击的设备上删除其存在的能力,这表明与活动有关的攻击者可能参与过隐藏技术的开发。 目前苹果已经得知了这个攻击方法并撤销了与Apple Developer ID的Saotia Seay (v1)和Julie Willey (v2)签署的二进制文件,从而阻止了进一步的安装。 Silver Sparrow是第二种恶意软件,其中包含可在Apple的新M1芯片上本地运行的代码。上周发现的一个名为GoSearch22的Safari广告软件扩展,已将其移植到可在由新处理器驱动的最新一代Mac上运行。据悉,最先发现该恶意软件的是一位名叫Partick Wardle的安全研究人员。他发现了M1平台上一款名为GoSearch22.app的恶意软件的存在。该恶意扩展是最古老且最活跃的Mac广告软件之一,一直以不断变化以规避检测而著称。GoSearch22广告软件表现为一个正版的Safari浏览器扩展,但会收集用户数据,并提供大量的广告,弹出窗口,弹出恶意网站的链接等。Gosearch22的运行采用的是M1兼容代码的形式。虽然该恶意程序的代码逻辑在不同平台是相同的, 杀毒软件可以轻易的检测出intel-x86版本,但面对ARM-M1版本却无动于衷 。因此截止到目前,大多数杀毒软件都无法对M1版本的该恶意软件做到识别查杀。 Lambert说:
Red Canary 目前分享了检测一系列 macOS 攻击的方法,但这些步骤并不是专门针对检测 Silver Sparrow 的: 1.寻找一个似乎是 PlistBuddy 的进程,与包含以下内容的命令行一起执行:aunchAgents and RunAtLoad and true. 这个分析可以帮助我们找到多个 macOS 恶意软件家族建立 LaunchAgent 的持久性。 2.寻找一个似乎是 sqlite3 的进程,该进程与以下命令行一起执行。LSQuarantine. 这个分析可以帮助我们找到多个 macOS 恶意软件系列,操纵或搜索下载文件的元数据。
3.寻找一个似乎是 curl 执行进程,该进程的命令行包含:s3.amazonaws.com. 这个分析可以帮助我们找到多个使用 S3 buckets 进行分发的 macOS 恶意软件 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |