新型恶意软件“Silver Sparrow”已感染了近三万台Mac

bytes的数据显示，截至2月17日，29139个macOS终端已在153个国家/地区被大量检测到，包括美国、英国、加拿大、法国和德国。

尽管目标macOS平台存在差异，但这两个示例遵循相同的操作方法：使用macOS Installer JavaScript API通过动态生成写入目标文件系统的两个Shell脚本来执行攻击命令。

尽管“agent.sh”在安装结束时立即执行，以通知AWS命令和控制(C2)服务器安装成功，但“verx.sh”每小时运行一次，联系C2服务器以下载和执行其他操作。

此外，该恶意软件还具有完全从受攻击的设备上删除其存在的能力，这表明与活动有关的攻击者可能参与过隐藏技术的开发。

目前苹果已经得知了这个攻击方法并撤销了与Apple Developer ID的Saotia Seay (v1)和Julie Willey (v2)签署的二进制文件，从而阻止了进一步的安装。

Silver Sparrow是第二种恶意软件，其中包含可在Apple的新M1芯片上本地运行的代码。上周发现的一个名为GoSearch22的Safari广告软件扩展，已将其移植到可在由新处理器驱动的最新一代Mac上运行。据悉，最先发现该恶意软件的是一位名叫Partick Wardle的安全研究人员。他发现了M1平台上一款名为GoSearch22.app的恶意软件的存在。该恶意扩展是最古老且最活跃的Mac广告软件之一，一直以不断变化以规避检测而著称。GoSearch22广告软件表现为一个正版的Safari浏览器扩展，但会收集用户数据，并提供大量的广告，弹出窗口，弹出恶意网站的链接等。Gosearch22的运行采用的是M1兼容代码的形式。虽然该恶意程序的代码逻辑在不同平台是相同的， 杀毒软件可以轻易的检测出intel-x86版本，但面对ARM-M1版本却无动于衷 。因此截止到目前，大多数杀毒软件都无法对M1版本的该恶意软件做到识别查杀。

Lambert说:

• 尽管我们还没有观察到Silver Sparrow可以提供额外的恶意载荷，但其前瞻性的M1芯片兼容性、全球范围的传播、相对较高的感染率和操作成熟度表明，Silver Sparrow是一个相当严重的威胁，其独特的存储位置可以在接到通知时立马下载恶意有效载荷。

Red Canary 目前分享了检测一系列 macOS 攻击的方法，但这些步骤并不是专门针对检测 Silver Sparrow 的：

1.寻找一个似乎是 PlistBuddy 的进程，与包含以下内容的命令行一起执行：aunchAgents and RunAtLoad and true. 这个分析可以帮助我们找到多个 macOS 恶意软件家族建立 LaunchAgent 的持久性。

2.寻找一个似乎是 sqlite3 的进程，该进程与以下命令行一起执行。LSQuarantine. 这个分析可以帮助我们找到多个 macOS 恶意软件系列，操纵或搜索下载文件的元数据。

3.寻找一个似乎是 curl 执行进程，该进程的命令行包含：s3.amazonaws.com. 这个分析可以帮助我们找到多个使用 S3 buckets 进行分发的 macOS 恶意软件

（编辑：开发网_开封站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!