Silver Sparrow: Neue Mac-Malware infiziert Nutzer unbemerkt aus geheimnisvollen Gründen

Cybersicherheitsanalysten haben eine ausgeklügelte Malwareprobe entdeckt, die Apple-Nutzer im Einsatz angreift. Die gemeinsame Forschung von Red Canary, Malwarebytes und VMWare Carbon Black zeigt dass etwa 30.000 Hosts in 153 Ländern von der neuen Bedrohung namens Silver Sparrow kompromittiert wurden. Die höchsten Infektionsraten wurden in den USA, Kanada, Frankreich, dem Vereinigten Königreich und Deutschland festgestellt.

Derzeit bleiben die Verbreitungsmethoden von Silver Sparrow unbekannt, und was noch interessanter ist, das endgültige Ziel der bösartigen Aktivität ist noch unklar. Sicherheitsexperten weisen jedoch auf die Raffinesse der neuen Bedrohung hin, da sie neue Apple M1-Chips, neuartige Ausweichtaktiken und ungewöhnliches schädliches Verhalten anvisieren kann.

Beschreibung von Silver Sparrow

Stand Februar 2021 haben Sicherheitsanalysten zwei existierende Varianten von Silver Sparrow entdeckt, die unter updater.pkg and updater.pkg Dateinamen verbreitet werden. Beide Varianten sind funktionell ähnlich, der einzige Unterschied besteht darin, dass updater.pkg eine Mach-O-Binärdatei enthält, die sowohl Intel x86_64 als auch M1 ARM64 Architekturen unterstützt, während updater.pkg nur die Intel x86_64 Architektur unterstützt.

Im Gegensatz zu den meisten existierenden bösartigen Mac-Software-Beispielen, die sich auf Neuinstallations- oder Nachinstallations-Skripte verlassen, um Befehle auszuführen, missbraucht Silver Sparrow die legitime macOS Installer-JavaScript-API zu diesem Zweck. Es ist eine bemerkenswerte Neuheit, da diese Herangehensweise unterschiedliche Telemetrie erzeugt und Forscher bei der Analyse bösartiger Aktivitäten in die Irre führt.

Nach der Infektion verlässt sich Silver Sparrow auf JavaScript-Funktionen, um Shell-Skripte zu erstellen und sich mit dem Command-and-Control (C&C) Server des Betreibers zu verbinden. Anschließend erstellt die Malware LaunchAgent-Plist-XML-Dateien, um diese Skripte wiederholt zu starten, während sie auf neue Befehle ihrer Betreiber wartet. Die von Experten untersuchten Beispiele erhielten jedoch nie Anweisungen. Obwohl dies ein Zeichen eines fehlerhaften Strangs sein könnte, gehen Experten davon aus, dass Silver Sparrow die Analyse erkennt und daher keine Ausführungsdateien zweiter Stufe an die untersuchten Hosts sendet.

Neben dem Rätsel um das endgültige Ziel führt Silver Sparrow eine ungewöhnliche Dateiprüfung durch. Insbesondere überprüft die Malware das Vorhandensein der ~/Library/._insu auf der Festplatte, und wenn sie identifiziert wird, löscht Silver Sparrow alle seine Dateien vom System. Der Zweck dieser Prüfung ist derzeit unbekannt.

Ein weiterer Hinweis auf die Raffinesse von Silver Sparrow ist die Tatsache, dass es mit macOS-Systemen kompatibel ist, die auf Apples neuestem M1-Chip laufen. Es ist die zweite Bedrohung die jemals entdeckt wurde, die M1 ARM64 Architekturen unterstützt. Diese Innovation verkompliziert die statische Analyse erheblich und senkt die Erkennungsrate dieser bösartigen Grobe durch Antivirenlösungen.

Erkennung von Silver Sparrow 

Am 22. Februar 2021 widerrief Apple die Zertifikate die von den Erstellern von Silver Sparrow genutzt wurden, um die Installationspakete zu signieren. Auf diese Weise schützt der Anbieter seine Nutzer vor weiterer Malware-Verbreitung und blockiert neue Infektionen.

Um mögliche bösartige Aktivitäten im Zusammenhang mit der Silver Sparrow-Malware zu erkennen, laden Sie eine exklusive Sigma-Regel von SOC Prime Team aus dem Threat Detection Marketplace herunter: https://tdm.socprime.com/tdm/info/abqGAiP8fz3K/fVpgzncBTwmKwLA9K4Q1/#rule-source-code

Die Regel hat Übersetzungen zu den folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

MITRE ATT&CK:

Taktiken: Ausführung

Techniken: Befehlszeilenschnittstelle (T1059)

Es sei denn, Sie haben keinen kostenpflichtigen Zugang zum Threat Detection Marketplace, diese exklusive Sigma-Regel kann durch Aktivierung Ihrer kostenlosen Testversion im Rahmen eines Community-Abonnements freigeschaltet werden.

Registrieren Sie sich im Threat Detection Marketplace um eine branchenführende SOC-Bibliothek mit 95.000+ Erkennungsregeln, Parsern, Suchanfragen und anderem Inhalt zu erreichen, der den CVE und MITRE ATT&CK® Frameworks zugeordnet ist. Die Inhaltsbasis wird täglich durch die gemeinsamen Bemühungen unserer internationalen Gemeinschaft von über 300 Sicherheitsexperten bereichert. Möchten Sie Teil unserer Threat-Hunting-Initiativen werden?  Treten Sie dem Threat Bounty Program bei!