Mac新恶意软件Silver Sparrow的奥秘

网络安全公司Red Canary上周发布了有关一种名为Silver Sparrow的Mac新恶意软件的调查结果。该恶意软件是第一个包含针对Apple新型M1芯片的本机代码的恶意软件。但是，对该恶意软件的未知信息实际上比已知的更有趣！

安装

我们知道该恶意软件是通过名为update.pkg或updater.pkg的Apple安装程序包（.pkg文件）安装的。但是，我们不知道这些文件是如何传递给用户的。

这些.pkg文件包含JavaScript代码，这些代码可以在安装真正开始之前就开始运行。然后会询问用户是否要允许程序运行以“确定是否可以安装软件”。

这意味着，如果您单击了“继续”，然后考虑了一下之后又退出了安装程序，那就已经迟了。您已经被感染了。

恶意软件生命周期

恶意JavaScript代码为当前用户安装了一个启动代理plist文件，该文件被设计为每小时启动一次名为verx.sh的脚本，该脚本具有多个功能。

首先，它将与以前托管在Amazon AWS上的命令和控制服务器联系。在分析时，它返回的数据是这样的：

接下来，恶意软件将检查文件~/Library/._insu。从Malwarebytes数据来看，这似乎是一个零字节的文件，并且恶意软件只是将其用作标记来指示应删除自身。在本例中，脚本执行了这一操作，然后退出。

最后，它将尝试确定是否存在较新版本的恶意软件（如果尚未安装最终的有效负载，情况将总是如此），如果是，它将从来自命令和控制服务器的数据downloadUrl参数提供的URL下载有效payload。

但是，从数据中可以看出，在分析时，下载URL为空白。尽管我们知道脚本会将有效payload存储在/ tmp / verx上，但我们尚未在任何受感染的计算机上看到此有效payload的任何实例。

如果实际下载了有效payload，它将以args数据作为参数启动。

.pkg文件与JavaScript删除的文件不同，它还将应用程序安装到Applications文件夹中。根据.pkg文件的版本，此应用程序的名称为“tasker”或“updater”。这两个应用程序似乎都是非常简单的占位符应用程序，它们没有其他有趣的地方。

在野的Silver Sparrow

Malwarebytes的研究人员与红金丝雀的研究人员在他们的发现上进行了合作，并在这一点上收集了有关感染的重要数据。在撰写本文时，我们已经看到39,080台具有Malwarebytes检测到的Silver Sparrow组件的特殊计算机。

这些检测主要集中在美国，超过25,000台特殊计算机被检测到带有Silver Sparrow。当然，这也是因为Malwarebytes在美国有大量客户群的原因，但是通过在164个国家的检测可以发现，该恶意软件的确非常普遍。

Silver Sparrow在各个国家的检测情况

检测到的路径显示出一种相当有趣的模式。实际上，绝大多数“感染”由._insu文件表示，并且存在该文件的计算机没有任何其他组件（与预期的一样）。

Malwarebytes的检测

结论

目前，我们还没有看到/tmp/verx有效payload，没有受感染的计算机安装它。就像Red Canary所说，这意味着我们对该恶意软件的意图知之甚少。

是的，Malwarebytes保护您的Mac免受Silver Sparrow的攻击。

来自命令和控制服务器（upbuchupsf）的数据中的args值看起来类似于广告软件经常使用的附属代码。但是，我们不能基于一个十个字符的字符串进行假设，因为这样的假设很容易是错误的。毕竟，出售给多个人并由其使用的恶意软件很可能会包含某种“客户代码”。

有趣的是，._insu文件的数量如此之多，由于此文件表明恶意软件应删除自身（尽管我们不知道文件是如何创建的），因此这是一个有力地证据，表明这以前可能是受感染的计算机。

因此，这种感染很有可能在最近的某个时候出现过，但是操作员发出了一个无声的“kill”命令，导致恶意软件删除了自己。这可能对应于最新的恶意安装程序的首次出现，该恶意软件安装程序已上载到VirusTotal，这可以向创建者表明该恶意软件已被发现，当然也有可能是由其他事件提示的。

根据Red Canary的调查结果，这些机器不太可能被长时间感染，因为这两个命令和控制服务器域是在2020年8月和2020年12月注册的。

Malwarebytes检测这些文件为OSX.SilverSparrow。