Эксперты Red Canary, Malwarebytes и VMWare Carbon Black обнаружили малварь Silver Sparrow, ориентированную на пользователей Mac. По данным специалистов, вредонос заразил уже 29 139 систем в 153 странах мира. Больше всего пострадавших находятся в США, Великобритании, Канаде, Франции и Германии.
Официальные отчеты гласят, что пока исследователям неизвестно, как именно распространяется Silver Sparrow. Вероятно, он был скрыт внутри вредоносной рекламы, пиратских приложений или поддельных обновлений Flash, то есть использовал один из классических векторов распространения Mac-малвари.
Более того, назначение Silver Sparrow и конечную цель малвари установить пока тоже не удалось. Дело в том, что когда Silver Sparrow заражает систему, он просто ожидает новых команд от своих операторов. Однако за то время, что исследователи наблюдали за малварью, никаких команд ей не поступало вообще.
При этом эксперты допускают, что вредонос обнаруживает аналитические инструменты, «замечает», что за ним следят, и лишь поэтому остается неактивным, и не загружает пейлоады второго уровня. Судя по количеству заражений, эта малварь вряд ли была чьим-то неудачным экспериментом ли шуткой.
Отдельно подчеркивается, что Silver Sparrow способен работать даже в системах с новым чипом Apple M1 (что еще раз подтверждает серьезные намерения его авторов). Это делает Silver Sparrow всего второй обнаруженной угрозой, адаптированной для M1. Напомню, что первая малварь такого рода была обнаружена всего несколько дней назад.
Исследователи пишут, что нашли две разные версии малвари: одна была скомпилирована только для Intel x86-64 и загружена в VirusTotal 31 августа 2020 года (updater.pkg), а вторая версия появилась 22 января 2021 года, и уже совместим с архитектурами Intel x86-64 и M1 ARM64 (update.pkg).
Представители Apple сообщили изданию MacRumors, что они уже отозвали сертификаты разработчиков, которые использовались для подписи малвари. Эта мера должна предотвратить дальнейшее распространение вредоноса и заражение новых Mac.