Casi 30 000 Mac en 153 países han sido infectados con una nueva pieza de malware que los investigadores de seguridad llaman Silver Sparrow.
los investigadores encontraron canario rojoel malware ha estado esperando en su host una carga útil que nunca llegó.
«Si bien no hemos observado que Silver Sparrow entregue cargas útiles maliciosas adicionales, su compatibilidad con el chip M1 con visión de futuro, su alcance global, su tasa de infección relativamente alta y su madurez operativa sugieren que Silver Sparrow es una amenaza bastante grave», está en una posición única para entregar una notificación inmediata. carga útil con impacto potencial», canario rojo El analista de inteligencia Tony Lambert escribió en una publicación de blog de la compañía el jueves.
Aunque los investigadores son Bytes de malware 29,139 endpoints macOS identificados como infectados por Silver Sparrow, muchas más máquinas pueden estar en riesgo de malware, dice Tony Anscombe, evangelista jefe de seguridad Esset.
«Según lo que se vio inicialmente, el malware podría estar más extendido de lo que se menciona en la divulgación», dijo a TechNewsWorld. «Estas cifras de 30 000 provienen de un único proveedor de seguridad, no de todo el entorno macOS».
Sin embargo, Thomas Reed, director de Mac y dispositivos móviles en Malwarebytes, insiste en que la aplicación deficiente podría quedar expuesta cuando esté a punto de oscurecerse.
«Podría ser una infección que ya ocurrió», dijo a TechNewsWorld.
«Hay un archivo que hace que el malware se elimine solo», explicó. «Este archivo actualmente constituye la mayor parte de nuestra detección. El creador parece estar emitiendo un comando de autodestrucción ahora».
Tabla de Contenidos
bloqueado por manzana
En un comunicado proporcionado a TechNewsWorld, Apple dijo que después de descubrir el malware, revoca los certificados de las cuentas de desarrollador utilizadas para firmar paquetes para evitar que se infecten nuevas máquinas.
Apple también señaló que no hay evidencia de que el malware identificado por los investigadores haya entregado cargas maliciosas a los usuarios infectados.
Agregó que la compañía ha tomado varias medidas para brindar una experiencia segura a sus usuarios, incluidos mecanismos técnicos como el servicio notarial de Apple, que protege a los usuarios al detectar malware y evitar que lo deje inoperable.
Sin embargo, el servicio no ha sido perfecto en el pasado, dijo Joshua A. Long, analista jefe de seguridad. Intégoun fabricante de software de seguridad y privacidad para Mac con sede en Austin, Texas.
«Más importante aún, según nuestra propia investigación en Intego, esta es al menos la sexta vez que el programa notarial de Apple no detecta familias de malware que se distribuyen en la naturaleza o se cargan en Número total de virus”, dijo a TechNewsWorld.
«La notarización está diseñada para identificar y detener el nuevo malware antes de que infecte la Mac», continuó, «pero el proceso de notarización automatizado de Apple ha certificado repetidamente docenas de muestras de malware que Apple no detectó como maliciosas».
Búsqueda de envenenamiento
Cómo la máquina infectada entró en contacto con el malware sigue siendo un misterio. «Los investigadores de malware no han finalizado el método de entrega exacto», dijo Long.
«Una teoría es que los usuarios finales pueden haber encontrado malware a través de resultados de búsqueda tóxicos de Google, resultados de búsqueda que conducen a sitios legítimos comprometidos por actores de amenazas, o sitios maliciosos que ocupan un lugar destacado en búsquedas específicas», agregó.
Otra posibilidad es una extensión de navegador maliciosa, señaló la directora de inteligencia de Red Canary, Katie Nickels, en una sesión en vivo en Twitter el lunes.
Long agregó que hay dos versiones del malware, también conocido como Slisp. Uno está compilado para Intel Mac. El otro es un binario genérico que se ejecuta en máquinas M1 basadas en Intel y ARM.
“Sin embargo, vale la pena señalar que las Mac M1 a menudo pueden ejecutar malware de Mac compilado solo para Intel, ya que la tecnología Rosetta de Apple permite que los binarios de Intel se ejecuten en Mac M1”, agregó.
«Podemos esperar que casi todo el malware para Mac a partir de ahora esté diseñado para ejecutarse en ambas arquitecturas», predice.
Carrera de armas de malware
Lambert estuvo de acuerdo en que la arquitectura M1 de Apple sería un objetivo para futuros atacantes.
«La inclusión de archivos binarios compilados para sistemas que ejecutan el nuevo procesador M1 ARM de Apple es importante porque muestra que los desarrolladores de Silver Sparrow están pensando en el futuro, en lugar de simplemente escribir su malware para que coincida con el conjunto de chips compatible con el mercado», dijo a TechNewsWorld.
Christopher Budd, gerente sénior de comunicaciones de amenazas globales AvastUn fabricante de software de seguridad, incluidos los programas antivirus para Mac, con sede en Praga, República Checa, explicó que los creadores de malware son empresarios por naturaleza. Se ajustan según las tendencias del mercado.
«Tener este malware funcionando en el nuevo sistema M1 muestra que estos autores creen que hay o habrá un mercado suficiente para que valga la pena dedicar recursos a la plataforma», dijo a TechNewsWorld.
El ingeniero de detección de Eset, Michal Malik, agregó: «El hecho de que los autores de malware y adware de macOS estén compilando archivos binarios para M1 es obvio, esperado y no justifica el revuelo reciente».
instalación novedosa
Apuntar a la arquitectura ARM de Apple no es la única forma en que Silver Sparrow se diferencia de la mayoría del malware para Mac.
«La mayoría del malware que observamos dirigido a los sistemas macOS termina entregando adware y cargas útiles asociadas», explicó Lambert.
«Tienden a usar preinstalación, postinstalación u otros scripts de shell en los instaladores de PKG y DMG», continuó. «Si bien hemos visto que el software legítimo usa la API de JavaScript del instalador de macOS, nunca hemos observado esto en el malware de macOS».
Anscombe de Eset señaló que la persistencia de Silver Sparrow y los métodos de instalación no tradicionales son aspectos dignos de mención, pero ya existen muestras de malware más peligrosas.
“El peligro de este malware depende del comportamiento del autor y la intención de entregar la carga útil”, dijo.
«Existe otro riesgo de que los malos actores intenten explotar el mecanismo y controlarlo», agregó.
El mito de la Mac invencible
¿Qué pueden hacer los consumidores para protegerse de Silver Sparrow? Lambert recomienda recurrir a la protección de terceros.
«Como regla general, generalmente recomendamos que los usuarios ejecuten un producto antivirus o antimalware de terceros para complementar la protección antimalware existente mantenida por el fabricante del sistema operativo», dijo.
«Aunque estamos hablando específicamente de macOS en este contexto», continuó. «Este consejo también se aplica a las máquinas con Windows».
Para los usuarios de Mac a quienes se les ha dicho que sus máquinas están libres de malware, este consejo puede ser dudoso.
«No es difícil infectar una Mac», observa Reed. «Lo único que frenaba en el pasado era la cuota de mercado».
«¿Por qué dedicaría tiempo a crear malware para un sistema que tiene una cuota de mercado bastante baja en comparación con Windows?», preguntó. «Pero a medida que las Mac ganaron participación de mercado, se convirtieron en un objetivo cada vez más popular, especialmente porque muchas de las personas que tienen Mac son las personas a las que desea dirigirse, como los directores ejecutivos y otros profesionales bien pagados».