Автор: Джон П. Мелло-младший
23 февраля 2021 г., 4:00 утра по тихоокеанскому времени
Около 30 000 компьютеров Mac в 153 странах были заражены новым штаммом вредоносного ПО, который исследователи в области безопасности называют Серебряным воробьем.
Обнаруженная исследователями из Red Canary, вредоносная программа сидела на своих хостах в ожидании полезной нагрузки, которая так и не пришла.
«Хотя мы еще не наблюдали, как Silver Sparrow доставляет дополнительные вредоносные полезные нагрузки, его перспективная совместимость с чипом M1, глобальный охват, относительно высокий уровень заражения и операционная зрелость предполагают, что Silver Sparrow представляет собой достаточно серьезную угрозу, имеющую уникальные возможности для доставки потенциально полезная нагрузка в любой момент », — написал в четверг в блоге компании аналитик Red Canary Intelligence Тони Ламберт
.
Хотя исследователи Malwarebytes выявили 29 139 конечных точек macOS, зараженных Silver Sparrow, вредоносное ПО может поразить гораздо больше машин, утверждает Тони Энском, главный специалист по безопасности в Eset.
«Судя по тому, что было впервые замечено, вредоносное ПО может иметь более широкое распространение, чем указано в раскрытии», — сказал он TechNewsWorld. «Число 30K исходит от одного поставщика средств безопасности, а не от всей среды macOS».
Однако директор Malwarebytes по Mac и мобильным устройствам Томас Рид утверждал, что плохое приложение может обнаружиться, поскольку оно вот-вот исчезнет. .
«Это может быть инфекция, которая уже исчерпала себя», — сказал он TechNewsWorld.
«Есть файл, который запускает самоудаление вредоносной программы», — пояснил он. «Этот файл составляет большую часть наших обнаружений на данный момент. Похоже, что создатель сейчас отправляет команду самоуничтожения».
Содержание статьи
Заблокировано Apple
В заявлении, предоставленном TechNewsWorld, Apple сообщила, что после обнаружения вредоносного ПО она отозвала сертификаты учетных записей разработчиков, которые использовались для подписи пакетов, что предотвратило заражение новых машин .
Apple также отметила, что нет никаких доказательств того, что вредоносная программа, обнаруженная исследователями, доставляла вредоносные данные зараженным пользователям.
Он добавил, что компания принимает ряд мер для обеспечения безопасности для своих пользователей, включая технические механизмы, такие как нотариальная служба Apple, для защиты пользователей путем обнаружения вредоносных программ и их блокирования, чтобы они не могли работать. .
Однако в прошлом эта служба была далеко не идеальной, — утверждает Джошуа А. Лонг, главный аналитик по безопасности компании Intego, производителя программного обеспечения безопасности и конфиденциальности для Mac, в Остине, штат Техас.
«Более важно, что, согласно нашему собственному исследованию в Intego, это, по крайней мере, шестой крупный случай, когда процесс нотариального заверения Apple не смог обнаружить семейства вредоносных программ, которые были либо распространены в« дикой природе », либо загружены на VirusTotal», он сказал TechNewsWorld.
«Нотариальное заверение специально предназначено для выявления и блокировки новых вредоносных программ до того, как они смогут заразить Mac, — продолжил он, — но в процессе автоматического нотариального заверения Apple неоднократно нотариально заверялись десятки образцов вредоносных программ, которые Apple не могла определить как вредоносные».
Отравленные поиски
Как зараженные машины вступили в контакт с вредоносным ПО, на данный момент остается загадкой. «Исследователи вредоносных программ еще не окончательно определили точный способ доставки, — сказал Лонг.
«Одна из теорий заключается в том, что конечные пользователи могли столкнуться с вредоносным ПО через отравленные результаты поиска Google — результаты поиска, ведущие на законные сайты, которые были скомпрометированы злоумышленником, или вредоносные сайты, которые имеют высокий рейтинг по определенным поисковым запросам», — добавил он. .
Другая возможность — это вредоносные расширения браузера, отметила директор разведки Red Canary Кэти Никелс во время сеанса прямой трансляции в Twitter в понедельник.
Лонг добавил, что существует две версии вредоносной программы, также известной как Slisp. Один скомпилирован для Intel Mac. Другой — универсальный двоичный файл, который работает как на машинах M1 на базе Intel, так и на ARM.
«Однако стоит отметить, что компьютеры Mac M1 часто могут запускать вредоносное ПО для Mac, скомпилированное только для Intel, из-за технологии Apple Rosetta, которая позволяет исполнять двоичные файлы Intel на компьютерах Mac M1», — добавил он.
«Мы можем ожидать, что практически все вредоносные программы для Mac с этого момента будут разработаны для работы на обеих архитектурах», — предсказал он.
Гонка вредоносных программ ARM
Ламберт согласился, что архитектура Apple M1 в будущем станет мишенью для злоумышленников.
«Включение двоичного файла, скомпилированного для использования в системах, работающих на новом процессоре Apple M1 ARM, важно, потому что это говорит о том, что разработчики Silver Sparrow думают о будущем, а не просто пишут свое вредоносное ПО для совместимости с теми наборами микросхем, которые в настоящее время имеют самая большая доля рынка ", — сказал он TechNewsWorld.
Кристофер Бадд, старший менеджер по глобальным коммуникациям с угрозами в Avast, Прага, Чешская Республика, производитель программного обеспечения для обеспечения безопасности, включая антивирусные программы для Mac, объяснил, что авторы вредоносных программ — это в основном бизнесмены. Они адаптируются к рыночным тенденциям.
«Включение этой вредоносной программы в новые системы M1 показывает, что эти авторы считают, что для этой платформы существует или будет достаточно рынка, чтобы оправдать выделение ресурсов на нее», — сказал он TechNewsWorld.
«Тот факт, что авторы вредоносных программ и рекламного ПО для macOS компилируют двоичные файлы для M1, был очевиден, ожидался и не оправдывает недавних сенсаций», — добавил инженер Eset Detection Михал Малик.
Установка романа
Ориентация на архитектуру Apple ARM — не единственный способ, которым Silver Sparrow отличается от большинства вредоносных программ для Mac, обнаруженных в дикой природе.
«Большинство вредоносных программ, которые мы наблюдаем для систем macOS, в конечном итоге поставляют рекламное ПО и связанные с ним полезные нагрузки, — пояснил Ламберт.
«Они, как правило, используют сценарии предварительной установки, последующей установки или другие сценарии оболочки внутри программ установки PKG и DMG, — продолжил он. «Хотя мы видели, что законное программное обеспечение использует JavaScript API установщика macOS, мы никогда не наблюдали этого с вредоносными программами для macOS».
Анскомб из Eset отметил, что настойчивость и нестандартный метод установки являются важными аспектами Silver Sparrow, но в дикой природе уже есть образцы более опасных вредоносных программ.
«Опасность этого вредоносного ПО зависит от действий автора по доставке полезной нагрузки и его намерений», — сказал он.
«Существует также риск того, что другой злоумышленник может попытаться задействовать механизм и взять его под контроль», — добавил он.
Миф о непобедимом Mac
Что могут сделать потребители, чтобы защитить себя от Серебряного воробья? Ламберт рекомендует использовать стороннюю защиту.
«Как правило, мы обычно рекомендуем пользователям использовать сторонние антивирусные программы или продукты для защиты от вредоносных программ, чтобы дополнить существующие средства защиты от вредоносных программ, поддерживаемые производителями операционных систем», — сказал он.
«В данном случае мы говорим конкретно о macOS, — продолжил он. «этот совет так же применим к машинам Windows».
Этот совет может быть сомнительным для владельцев Mac, которым сказали, что их машины защищены от заражения вредоносным ПО.
«Заразить Mac не так уж и сложно», — заметил Рид. «Единственное, что мешало в прошлом, — это доля рынка».
«Зачем вам тратить свое время на создание вредоносного ПО для системы, имеющей довольно низкую долю рынка по сравнению с Windows? " он спросил. «Но по мере увеличения доли рынка Mac они становятся все более популярной целью, особенно потому, что многие люди, у которых есть Mac, — это люди, на которых вы хотели бы ориентироваться, например, генеральные директора и другие хорошо оплачиваемые профессионалы». 
