新的“银麻雀”恶意软件感染了近30000台苹果Mac电脑

在第一个针对苹果M1芯片的恶意软件在野外被发现几天后，研究人员披露了另一个之前未被发现的恶意软件，该软件在大约30000台运行英特尔x86_64和iPhone制造商M1处理器的Mac电脑中被发现。

然而，该行动的最终目标仍然是一个难题，由于缺乏下一阶段或最终有效载荷，研究人员无法确定其分布时间表，以及威胁是否正在积极开发中。

网络安全公司Red Canary称该恶意软件为“银麻雀”，称其识别出该恶意软件的两个不同版本—；其中一个版本仅针对英特尔x86_64编译，并于2020年8月31日上传至VirusTotal（版本1），另一个版本于1月22日提交至数据库，该版本与英特尔x86_64和M1 ARM64体系结构（版本2）兼容。

更令人不解的是，x86_64二进制文件在执行时只会显示消息“你好，世界！”而M1二进制文件读作“你做到了！”，研究人员怀疑它被用作占位符。

“Mach-O编译的二进制文件似乎没有那么多功能[…]所以我们一直称它们为“旁观者双星”，红金丝雀的托尼·兰伯特说。

兰伯特补充说：“我们无法确切地知道恶意软件将分配什么样的有效载荷，是否已经交付并移除了有效载荷，或者对手是否有未来的分配时间表。”。

截至2月17日，29139个MACOS端点位于153个国家，包括来自美国、英国、加拿大、法国和德国的大量检测，根据MalBube的数据。

尽管目标macOS平台有所不同，但这两个示例遵循相同的操作方式：使用macOS安装程序JavaScript API，通过动态生成写入目标文件系统的两个shell脚本来执行攻击命令。

虽然“agent.sh”在安装结束时立即执行，以通知AWS命令和控制（C2）服务器安装成功，“verx.sh”每小时运行一次，并联系C2服务器以获取更多下载和执行的内容。

此外，该恶意软件还具有从受损主机上完全清除其存在的功能，这表明与活动相关的参与者可能是受秘密技术的驱使。

作为对调查结果的回应，苹果撤销了与苹果开发者ID的Saotia Seay（v1）和Julie Willey（v2）签署的二进制文件，从而阻止了进一步的安装。

Silver Sparrow是第二个包含在苹果新的M1芯片上本机运行的代码的恶意软件。上周，一个名为GoSearch22的Safari广告软件扩展被确认已被移植到由新处理器驱动的最新一代Mac电脑上运行。

“虽然我们还没有观察到银麻雀提供额外的恶意有效载荷，但其前瞻性的M1芯片兼容性、全球覆盖范围、相对较高的感染率和操作成熟度表明，银麻雀是一个相当严重的威胁，其独特的位置可以在一瞬间提供潜在的有效载荷。”兰伯特说。