Logiciel malveillant Silver Sparrow

Par GoldSparrow en Mac Malware

Se traduisent par :

Il semble que les cybercriminels font des heures supplémentaires et, en seulement trois mois, ont commencé à émettre des menaces de logiciels malveillants capables d'infecter des appareils alimentés par la nouvelle puce M1 d'Apple. Jusqu'à présent, un nombre limité de produits lancés ont été alimentés par la puce - le MacBook Pro, le MacBook Air et le Mac Mini introduits par Apple en novembre 2020.

Ce que l'on pense être la première souche de logiciels malveillants à cibler les nouveaux systèmes a été découvert par Patrick Wardle, chercheur de longue date en sécurité Mac. La menace appelée GoSearch22.app est une version modifiée du logiciel publicitaire Pirrit. Quelques jours plus tard, un deuxième malware capable de fonctionner sur les architectures M1 ARM64 a été publié

La menace s'appelait Silver Sparrow et présente plusieurs caractéristiques qui la distinguent du malware macOS habituel. Au lieu de s'appuyer sur des scripts de pré-installation et de post-installation pour exécuter des commandes, Silver Sparrow exploite l'API JavaScript du programme d'installation de macOS. Les chercheurs notent qu'un tel comportement a déjà été observé dans des logiciels légitimes, mais pas tant dans le cadre de menaces de logiciels malveillants.

Le mécanisme de persistance de Silver Sparrow est établi via l'utilisateur d'un processus PlistBuddy. Une fois initialisé, il crée un LaunchAgent qui transmet les instructions au système launchd de macOS. Le but est de définir une exécution automatique de certaines tâches. Si Silver Sparrow réussit, il en résultera un script shell qui récupère un fichier JSON à partir du serveur Command-and-Control et le dépose sur le système compromis. Le processus sera répété toutes les heures. Le fichier JSON sera ensuite converti en fichier plist et ses propriétés détermineront quelles seront les prochaines actions du malware.

La fonctionnalité d'architecture M1 de Silver Sparrow est contenue dans un binaire Mach-O externe. Pour l'instant, le binaire semble être un espace réservé qui affiche le message "Vous l'avez fait" actuellement.

Le but de Silver Sparrow reste inconnu

Pour l'instant, l'objectif des pirates responsables de Silver Sparrow n'a pas pu être déterminé car la menace du logiciel malveillant n'a pas été observée délivrant des charges utiles menaçantes sur les systèmes infectés. Cependant, les données recueillies révèlent que la menace a déjà réussi à violer des milliers d'ordinateurs. Près de 30 000 victimes de la menace ont déjà été détectées, les utilisateurs compromis étant répartis dans 153 pays. La plus forte concentration de victimes a été observée aux États-Unis, au Royaume-Uni, au Canada, en France et en Allemagne.

Silver Sparrow ne doit pas être sous-estimé. La menace a une portée mondiale, un taux d'infection élevé, une infrastructure établie et est prête à attaquer les derniers produits Apple. Les cybercriminels peuvent, à tout moment, choisir de charger leur création menaçante de commencer à fournir des charges utiles de logiciels malveillants dévastateurs.