Mac-plattformen er i ferd med å bli et mer yndet mål for utviklere av skadevare, som nylig også har begynt å rette seg mot den nye generasjonen Mac-maskiner med Apples M1-brikke om bord. Nå har det kommet nok en Mac-skadevare med M1-kompatibilitet, og denne har en snodig egenskap.
Sikkerhetsselskapet Red Canary (via Threatpost) rapporterer at de har sporet opp en MacOS-skadevare døpt Silver Sparrow som skal ha infisert Mac-maskiner i over 150 land, deriblant USA, Storbritannia, Canada, Frankrike og Tyskland.
Antallet skal hittil ligge på rundt 30.000 enheter, men den sprer seg raskt.
_logo.svg.png){kind=logo}
Mangler «nyttelasten»
Det spesielle med skadevaren er at den hittil ikke har aktivert selve hovedlasten, eller «payload»-delen av skadevaren som det heter på originalspråket.
Dette innebærer at man hittil ikke er sikker på hva skadevaren skal brukes til. Sikkerhetsforskerne hevder imidlertid at den likevel utgjør en betydelig trussel på flere ulike måter.
– Selv om vi ikke har observert at Silver Sparrow har levert ytterlige ondsinnede laster ennå, betyr den fremoverrettede M1-kompatibiliteten, det globale omfanget, den relativt høye infeksjonsraten, og den operasjonelle modenheten at Silver Sparrow er en rimelig alvorlig trussel som er unikt posisjonert til å levere en potensielt slagkraftig last på et øyeblikks varsel, skriver Red Canary-forskerne.
Skadevaren bruker en såkalt Launch Agent til å etablere tilstedeværelse på de infiserte systemene. Launch Agent er prosesser som starter automatisk på Mac-en når brukeren logger på maskinen, og er også blitt benyttet i tidligere tilfeller av MacOS-skadevare som digi.no har skrevet om.
PKG-format
En av unike egenskapene er imidlertid at den bruker JavaScript API til å utføre «mistenkelige» kommandoer, som Red Canary formulerer det. Det er første gangen selskapet har observert dette i MacOS-skadevare.
Skadevaren sprer seg i form av installasjonspakker i PKG-formatet ved navn updater.pkg og update.pkg. Sikkerhetsforskerne er ennå ikke sikre på distribusjonsmetoden, men de har sine antakelser.
– Vi mistenker at ondsinnede søkemotorresultater omdirigerer ofre til å laste ned PKG-en basert på nettverksforbindelser fra nettleseren til et offer like før nedlastning, skriver selskapet.
Det at skadevaren mangler «nyttelasten» betyr det er mange usikkerhetsmomenter, inkludert hvilke egenskaper den faktisk vil ha, og hvorvidt den allerede er blitt levert og fjernet igjen. Det er også mulig bakmennene opererer med en form for timeplan, skriver forskerne.
Mer teknisk informasjon kan finne på sikkerhetsselskapets hjemmesider.
Nå finnes det skadevare spesifikt designet for Apples nye prosessorbrikker
