Gorrión de Plata: Nuevo Malware en Mac Infecta Silenciosamente a los Usuarios con un Propósito Misterioso

Analistas de ciberseguridad han detectado una muestra sofisticada de malware que ataca a usuarios de Apple en el entorno natural. La investigación conjunta de Red Canary, Malwarebytes y VMWare Carbon Black detalla que aproximadamente 30,000 anfitriones en 153 países han sido comprometidos por la nueva amenaza denominada Silver Sparrow. Las tasas de infección más altas se detectaron en Estados Unidos, Canadá, Francia, Reino Unido y Alemania.

Actualmente, los métodos de entrega de Silver Sparrow siguen siendo desconocidos, y lo que es aún más interesante, el objetivo final de la actividad maliciosa sigue sin determinarse. Sin embargo, los profesionales de la seguridad apuntan a la sofisticación de la nueva amenaza debido a su capacidad para atacar los nuevos chips Apple M1, sus nuevas tácticas de evasión y su comportamiento malicioso inusual.

Descripción de Silver Sparrow

En cuanto a febrero de 2021, los analistas de seguridad descubrieron dos variantes existentes de Silver Sparrow entregadas bajo los nombres de archivo updater.pkg and updater.pkg . Ambas cepas son similares en funcionalidad, la única diferencia es que updater.pkg contiene un binario Mach-O que soporta tanto las arquitecturas Intel x86_64 como M1 ARM64, mientras que updater.pkg soporta exclusivamente la arquitectura Intel x86_64.

A diferencia de la mayoría de las muestras de software malicioso para Mac existentes que dependen de scripts de reinstalación o post-instalación para ejecutar comandos, Silver Sparrow abusa de la API de JavaScript del instalador legítimo de macOS para este propósito. Es una novedad notable que permite a la amenaza evadir la detección ya que tal enfoque produce una telemetría diferente y engaña a los investigadores mientras analizan la actividad maliciosa.

Tras la infección, Silver Sparrow se basa en funciones de JavaScript para producir scripts de shell y conectarse al servidor de comando y control (C&C) del operador. Luego, el malware crea archivos XML LaunchAgent Plist para lanzar repetidamente estos scripts mientras espera los nuevos comandos de sus mantenedores. Sin embargo, las muestras inspeccionadas por expertos nunca recibieron instrucciones. Aunque puede ser un signo de una cepa defectuosa, los expertos asumen que Silver Sparrow puede detectar el análisis, de modo que no empuje ningún ejecutable de segunda etapa a los anfitriones bajo la investigación.

Aparte del rompecabezas del objetivo final, Silver Sparrow realiza una comprobación de archivos inusual. Particularmente, el malware verifica la presencia de ~/Library/._insu en el disco, y si se identifica, Silver Sparrow elimina todos sus archivos del sistema. Actualmente, el propósito de esta comprobación sigue siendo desconocido.

Otra indicación de la sofisticación de Silver Sparrow es el hecho de que es compatible con sistemas macOS que ejecutan el último chip M1 de Apple. Es la segunda amenaza jamás detectada que soporta arquitecturas M1 ARM64. Tal innovación complica significativamente el análisis estático y reduce la tasa de detección para esta cepa maliciosa por las soluciones antivirus.

Detección de Silver Sparrow

El 22 de febrero de 2021, Apple revocó los certificados utilizados por los creadores de Silver Sparrow para firmar los paquetes de instalación. De esta manera, el proveedor protege a sus usuarios de una mayor propagación de malware y bloquea cualquier nueva infección.

Para detectar la posible actividad maliciosa relacionada con el malware Silver Sparrow, descargue una regla Sigma exclusiva del Equipo SOC Prime desde el Mercado de Detección de Amenazas: https://tdm.socprime.com/tdm/info/abqGAiP8fz3K/fVpgzncBTwmKwLA9K4Q1/#rule-source-code

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

MITRE ATT&CK:

Tácticas: Ejecución

Técnicas: Interfaz de línea de comando (T1059)

A menos que no tenga acceso de pago al Mercado de Detección de Amenazas, esta regla Sigma exclusiva se puede desbloquear activando su prueba gratuita bajo una suscripción comunitaria.

Regístrese en el Mercado de Detección de Amenazas para acceder a una biblioteca SOC líder en la industria que contiene más de 95,000 reglas de detección, analizadores, consultas de búsqueda y otro contenido mapeado a los marcos CVE y MITRE ATT&CK®. La base de contenido se enriquece todos los días con los esfuerzos conjuntos de nuestra comunidad internacional de más de 300 expertos en seguridad. ¿Quieres ser parte de nuestras iniciativas de cacería de amenazas? Únete al Programa de Recompensas por Amenazas!