Mac新恶意软件Silver Sparrow的奥秘：Mac新恶意软件SilverSparr

原标题：Mac新恶意软件SilverSparrow的奥秘
网络安全公司RedCanary上周发布了有关一种名为SilverSparrow的Mac新恶意软件的调查结果。该恶意软件是第一个包含针对Apple新型M1芯片的本机代码的恶意软件。但是，对该恶意软件的未知信息实际上比已知的更有趣！
安装
我们知道该恶意软件是通过名为update.pkg或updater.pkg的Apple安装程序包（.pkg文件）安装的。但是，我们不知道这些文件是如何传递给用户的。
这些.pkg文件包含JavaScript代码，这些代码可以在安装真正开始之前就开始运行。然后会询问用户是否要允许程序运行以“确定是否可以安装软件” 。

文章图片
这意味着，如果您单击了“继续” ，然后考虑了一下之后又退出了安装程序，那就已经迟了。您已经被感染了。
恶意软件生命周期
恶意JavaScript代码为当前用户安装了一个启动代理plist文件，该文件被设计为每小时启动一次名为verx.sh的脚本，该脚本具有多个功能。
首先，它将与以前托管在AmazonAWS上的命令和控制服务器联系。在分析时，它返回的数据是这样的：

文章图片
接下来，恶意软件将检查文件~/Library/._insu 。从Malwarebytes数据来看，这似乎是一个零字节的文件，并且恶意软件只是将其用作标记来指示应删除自身。在本例中，脚本执行了这一操作，然后退出。
最后，它将尝试确定是否存在较新版本的恶意软件（如果尚未安装最终的有效负载，情况将总是如此），如果是，它将从来自命令和控制服务器的数据downloadUrl参数提供的URL下载有效payload 。
【Mac新恶意软件Silver Sparrow的奥秘】但是，从数据中可以看出，在分析时，下载URL为空白。尽管我们知道脚本会将有效payload存储在/tmp/verx上，但我们尚未在任何受感染的计算机上看到此有效payload的任何实例。
如果实际下载了有效payload ，它将以args数据作为参数启动。
.pkg文件与JavaScript删除的文件不同，它还将应用程序安装到Applications文件夹中。根据.pkg文件的版本，此应用程序的名称为“tasker”或“updater” 。这两个应用程序似乎都是非常简单的占位符应用程序，它们没有其他有趣的地方。
在野的SilverSparrow
Malwarebytes的研究人员与红金丝雀的研究人员在他们的发现上进行了合作，并在这一点上收集了有关感染的重要数据。在撰写本文时，我们已经看到39,080台具有Malwarebytes检测到的SilverSparrow组件的特殊计算机。
这些检测主要集中在美国，超过25,000台特殊计算机被检测到带有SilverSparrow 。当然，这也是因为Malwarebytes在美国有大量客户群的原因，但是通过在164个国家的检测可以发现，该恶意软件的确非常普遍。

文章图片
SilverSparrow在各个国家的检测情况
检测到的路径显示出一种相当有趣的模式。实际上，绝大多数“感染”由._insu文件表示，并且存在该文件的计算机没有任何其他组件（与预期的一样）。

文章图片
Malwarebytes的检测
结论
目前，我们还没有看到/tmp/verx有效payload ，没有受感染的计算机安装它。就像RedCanary所说，这意味着我们对该恶意软件的意图知之甚少。
是的， Malwarebytes保护您的Mac免受SilverSparrow的攻击。
来自命令和控制服务器（upbuchupsf）的数据中的args值看起来类似于广告软件经常使用的附属代码。但是，我们不能基于一个十个字符的字符串进行假设，因为这样的假设很容易是错误的。毕竟，出售给多个人并由其使用的恶意软件很可能会包含某种“客户代码” 。
有趣的是， ._insu文件的数量如此之多，由于此文件表明恶意软件应删除自身（尽管我们不知道文件是如何创建的），因此这是一个有力地证据，表明这以前可能是受感染的计算机。
因此，这种感染很有可能在最近的某个时候出现过，但是操作员发出了一个无声的“kill”命令，导致恶意软件删除了自己。这可能对应于最新的恶意安装程序的首次出现，该恶意软件安装程序已上载到VirusTotal ，这可以向创建者表明该恶意软件已被发现，当然也有可能是由其他事件提示的。