Nuevo malware en 30.000 Mac desconcertó a los profesionales de la seguridad

Un malware no descubierto anteriormente que se encuentra en casi 30.000 Mac en todo el mundo está intrigando a los círculos de seguridad que todavía están tratando de comprender exactamente qué está haciendo y para qué sirve su autodestrucción.

Una vez por hora, las Mac infectadas escanean un servidor de control para ver si hay nuevos comandos para que se ejecute el malware o si se deben ejecutar archivos binarios. Hasta ahora, sin embargo, los investigadores no han observado si alguna de las 30.000 computadoras infectadas está siendo atendida, dejando desconocido el destino final del malware. La falta de una carga útil final sugiere que una vez que se cumple una condición desconocida, el malware puede tomar medidas.

También es extraño que el malware tenga un mecanismo que le permite eliminarse por completo. Esta función suele estar reservada para operaciones de gran sigilo. Sin embargo, hasta ahora no hay evidencia de que se haya utilizado la función de autodestrucción, lo que plantea la pregunta de por qué existe el mecanismo.

Aparte de esas preguntas, el malware es digno de mención para una versión que se ejecuta de forma nativa en el chip M1 presentado por Apple en noviembre. Esto lo convierte en el segundo malware conocido de macOS en hacer esto. El binario malicioso es aún más misterioso ya que utiliza la API de JavaScript del instalador de macOS para ejecutar comandos. Esto dificulta el análisis del contenido del paquete de instalación o la forma en que el paquete utiliza los comandos de JavaScript.

El malware se encontró en 153 países, con detecciones concentradas en EE. UU., Reino Unido, Canadá, Francia y Alemania. El uso de Amazon Web Services y la red de Akamai para entregar contenido garantiza que la infraestructura de comando funcione de manera confiable y dificulta el bloqueo de los servidores. Los investigadores de Red Canary, la empresa de seguridad que descubrió el malware, lo llaman Silver Sparrow.

Amenaza algo seria

“Aunque no hemos visto a Silver Sparrow entregar una carga útil maliciosa adicional, la compatibilidad avanzada con chips M1, el alcance global, la tasa de infección relativamente alta y la disponibilidad operativa sugieren que Silver Sparrow representa una amenaza razonablemente seria que se encuentra en una posición única desplegar cargas útiles potencialmente dañinas en el menor tiempo posible ”, escribieron los investigadores de Red Canary en una publicación de blog publicada el viernes. «Dado este motivo de preocupación, con un espíritu de transparencia queríamos compartir todo lo que sabemos con la industria Infosec en general más temprano que tarde».

Silver Sparrow viene en dos versiones: una con un binario de formato de objeto Mach compilado para procesadores Intel x86_64 y la otra binaria Mach-O para el M1. La siguiente imagen proporciona una descripción general de las dos versiones:

Canario rojo

Hasta ahora, los investigadores no han visto que ninguno de los binarios haga mucho, lo que llevó a los investigadores a referirse a ellos como «binarios de visor». Curiosamente, el binario x86_64 muestra las palabras «¡Hola mundo!» mientras que el binario M1 dice «¡Lo hiciste!» Los investigadores sospechan que los archivos son marcadores de posición para permitir que el instalador distribuya contenido fuera de la ejecución de JavaScript.

Silver Sparrow es solo el segundo malware que contiene código que se ejecuta de forma nativa en el nuevo chip M1 de Apple. Un ejemplo de adware informado a principios de esta semana fue el primero. El código nativo M1 se ejecuta más rápido y de manera más confiable que el código x86_64 en la nueva plataforma, ya que el primero no necesita ser traducido antes de que pueda ejecutarse. Muchos desarrolladores de aplicaciones macOS legítimas aún no han completado el proceso de recompilación de su código para el M1. La versión M1 de Silver Sparrow sugiere que los desarrolladores están por delante de la curva.

Después de la instalación, Silver Sparrow buscará la URL desde la que se descargó el paquete de instalación. Lo más probable es que esto sea así para que los operadores de malware sepan qué canales de venta tienen más éxito. En este sentido, Silver Sparrow es similar al adware de macOS que vimos anteriormente. No está claro cómo o dónde se propaga el malware o cómo se instala. Sin embargo, la revisión de la URL sugiere que los resultados de búsqueda maliciosos podrían ser al menos un canal de ventas. Si es así, los instaladores probablemente se harían pasar por aplicaciones legítimas.

Una de las cosas más impresionantes de Silver Sparrow es la cantidad de Mac que ha infectado. Los investigadores de Red Canary trabajaron con sus homólogos de Malwarebytes. El último grupo descubrió que Silver Sparrow estaba instalado en 29,139 puntos finales de macOS a partir del miércoles. Ese es un logro significativo.

«Lo más notable para mí [thing] es que se encontró en casi 30.000 puntos finales macOS … y estos son solo puntos finales que MalwareBytes puede ver, por lo que es probable que el número sea mucho mayor ”, escribió Patrick Wardle, experto en seguridad macOS del fabricante de software corporativo Jamf, en un Mensaje de Internet. «Está bastante extendido … y muestra una vez más que a pesar de los esfuerzos de Apple, el malware macOS se está volviendo más extendido y común».

Para aquellos que quieran comprobar si su Mac está infectado, Red Canary ofrece indicadores de compromiso al final de su informe.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *