在30k Mac上发现新的恶意软件后，安全专家陷入困境

在全球近30,000台Mac上发现的以前未被发现的恶意软件正在引起安全界的关注，安全界仍在努力准确地了解其功能以及其自毁功能的作用。

每小时一次，被感染的Mac会检查控制服务器，以查看恶意软件是否应运行任何新命令或执行二进制文件。但是，到目前为止，研究人员尚未观察到在30,000台被感染的计算机上传送任何有效负载的情况，从而使该恶意软件的最终目标未知。缺少最终的有效负载表明，一旦遇到未知条件，恶意软件便会立即采取行动。

同样令人好奇的是，该恶意软件带有一种可以完全删除自身的机制，该功能通常保留给高隐身操作。但是，到目前为止，还没有迹象表明使用了自毁功能，从而提出了为什么存在该机制的问题。

除了这些问题之外，该恶意软件还值得注意的是，该版本可在Apple于11月推出的M1芯片上本地运行，从而使其成为第二个已知的macOS恶意软件。恶意二进制文件仍然更加神秘，因为它使用macOS Installer JavaScript API执行命令。这使得很难分析安装软件包的内容或软件包使用JavaScript命令的方式。

该恶意软件已在153个国家/地区发现，检测范围集中在美国，英国，加拿大，法国和德国。它对Amazon Web Services和Akamai内容交付网络的使用确保了命令基础架构可靠地工作，并且也使得对服务器的锁定更加困难。发现恶意软件的安全公司Red Canary的研究人员将其称为Silver Sparrow。

“尽管我们还没有观察到Silver Sparrow可以提供其他恶意负载，但其前瞻性的M1芯片兼容性，全球覆盖范围，相对较高的感染率以及运营成熟度表明Silver Sparrow是相当严重的威胁，具有独特的定位，可以提供潜在的影响马上就会收到有效载荷，”红金丝雀的研究人员在周五发布的博客文章中写道。 “鉴于这些令人担忧的原因，本着透明的精神，我们希望尽早与更广泛的信息安全行业共享我们所知道的一切。”

Silver Sparrow有两种版本-一种是针对Intel x86_64处理器编译的马赫对象格式的二进制文件，另一种针对M1的Mach-O二进制文件。下图提供了两个版本的高级概述：

到目前为止，研究人员还没有看到任何一种二进制文件能做任何事情，因此促使研究人员将它们称为“旁观者二进制文件”。奇怪的是，x86_64二进制文件在执行时显示单词“ Hello World！”。而M1二进制文件显示为“您做到了！”研究人员怀疑这些文件是占位符，从而为安装程序提供了一些在JavaScript执行之外分发内容的功能。 Apple已撤销这两个旁观者二进制文件的开发人员证书。

Silver Sparrow只是第二种恶意软件，其中包含可在Apple的新型M1芯片上本地运行的代码。本周早些时候报道的广告软件样本是第一个。与x86_64代码相比，本机M1代码在新平台上的运行速度和可靠性更高，因为前者无需在执行之前进行翻译。许多使用合法macOS应用程序的开发人员仍未完成为M1重新编译其代码的过程。 Silver Sparrow的M1版本表明其开发人员处于领先地位。安装完成后，Silver Sparrow会搜索从安装程序包下载的URL，因此恶意软件操作员很可能会知道哪个分发渠道最成功。在这方面，Silver Sparrow类似于以前看到的macOS广告软件。尚不清楚确切如何，在何处分发恶意软件或如何安装恶意软件。不过，URL检查表明恶意搜索结果可能至少是一个分发渠道，在这种情况下，安装程序可能会冒充合法应用程序。

Silver Sparrow最令人印象深刻的事情是它感染了Mac。 Red Canary的研究人员与Malwarebytes的同行合作，后者的小组发现截至周三，Silver Sparrow已安装在29,139个macOS端点上。这是一项重大成就。

“对我而言，最值得注意的是，它是在将近30K的macOS端点上发现的……而这些只是MalwareBytes可以看到的端点，因此该数字可能更高，” macOS安全专家Patrick Wardle说道，在Internet邮件中写道。 “这相当普遍……并且再次表明，尽管苹果竭尽全力，macOS恶意软件仍变得越来越普遍和普遍。”

对于那些想检查自己的Mac是否已被感染的人，Red Canary在报告末尾提供了危害指标。