Silver Sparrow : Un nouveau malware Mac infecte silencieusement les utilisateurs pour une raison mystérieuse

Les analystes en cybersécurité ont détecté un échantillon sophistiqué de malware qui attaque les utilisateurs d’Apple sur le terrain. La recherche conjointe de Red Canary, Malwarebytes, et VMWare Carbon Black détaille qu’environ 30 000 hôtes à travers 153 pays ont été compromis par la nouvelle menace baptisée Silver Sparrow. Les taux d’infection les plus élevés ont été observés aux États-Unis, au Canada, en France, au Royaume-Uni et en Allemagne.

Actuellement, les méthodes de livraison de Silver Sparrow restent inconnues, et ce qui est encore plus intéressant, l’objectif final de l’activité malveillante n’est toujours pas déterminé. Cependant, les professionnels de la sécurité pointent la sophistication de cette nouvelle menace en raison de sa capacité à cibler les nouvelles puces Apple M1, de ses tactiques de contournement novatrices et de son comportement malveillant inhabituel.

Description de Silver Sparrow

En février 2021, les analystes en sécurité ont découvert deux variantes existantes de Silver Sparrow livrées sous des noms de fichiers updater.pkg and des noms de fichiers updater.pkg . Les deux souches sont similaires en fonctionnalité, la seule distinction est que des noms de fichiers updater.pkg contient un binaire Mach-O prenant en charge à la fois les architectures Intel x86_64 et M1 ARM64, tandis que des noms de fichiers updater.pkg prend exclusivement en charge l’architecture Intel x86_64.

Contrairement à la plupart des logiciels malveillants Mac existants qui s’appuient sur des scripts de réinstallation ou post-installation pour exécuter des commandes, Silver Sparrow exploite l’API JavaScript Installer légitime de macOS à cette fin. Il s’agit d’une nouveauté notable permettant à la menace d’échapper à la détection puisque cette approche produit une télémétrie différente et induit en erreur les chercheurs lors de l’analyse de l’activité malveillante.

Après infection, Silver Sparrow s’appuie sur des fonctions JavaScript pour produire des scripts shell et se connecter au serveur de commande et de contrôle (C&C) de l’opérateur. Ensuite, le malware crée des fichiers XML LaunchAgent Plist pour lancer ces scripts de manière répétée en attendant les nouvelles commandes de ses mainteneurs. Cependant, les échantillons inspectés par les experts n’ont jamais reçu de directives. Bien que cela puisse être un signe de souche défaillante, les experts supposent que Silver Sparrow peut détecter l’analyse, donc il n’envoie pas de fichiers exécutables de seconde étape aux hôtes sous enquête.

En dehors du casse-tête de l’objectif final, Silver Sparrow effectue une vérification de fichier inhabituelle. En particulier, le malware vérifie la présence de ~/Library/._insu sur le disque, et si elle est identifiée, Silver Sparrow supprime tous ses fichiers du système. Le but de cette vérification reste actuellement inconnu.

Une autre indication de la sophistication de Silver Sparrow est le fait qu’il est compatible avec les systèmes macOS fonctionnant avec la dernière puce M1 d’Apple. C’est la deuxième menace jamais détectée prenant en charge les architectures M1 ARM64. Une telle innovation complique considérablement l’analyse statique et réduit le taux de détection de cette souche malveillante par les solutions antivirus.

Détection de Silver Sparrow

Le 22 février 2021, Apple a révoqué les certificats utilisés par les créateurs de Silver Sparrow pour signer les packages d’installation. Ainsi, le fournisseur protège ses utilisateurs de la propagation supplémentaire de logiciels malveillants et bloque toute nouvelle infection.

Pour détecter la possible activité malveillante liée au malware Silver Sparrow, téléchargez une règle Sigma exclusive par l’équipe SOC Prime depuis le Threat Detection Marketplace : https://tdm.socprime.com/tdm/info/abqGAiP8fz3K/fVpgzncBTwmKwLA9K4Q1/#rule-source-code

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR : Carbon Black

MITRE ATT&CK :

Tactiques : Exécution

Techniques : Interface en ligne de commande (T1059)

À moins que vous n’ayez pas accès payant au Threat Detection Marketplace, cette règle Sigma exclusive peut être débloquée en activant votre essai gratuit sous un abonnement communautaire.

Inscrivez-vous au Threat Detection Marketplace pour accéder à une bibliothèque SOC leader dans l’industrie contenant plus de 95 000 règles de détection, parseurs, requêtes de recherche et autres contenus mappés aux cadres CVE et MITRE ATT&CK®. La base de contenu s’enrichit chaque jour grâce aux efforts conjoints de notre communauté internationale de plus de 300 acteurs de la sécurité. Vous voulez faire partie de nos initiatives de chasse aux menaces ? Rejoindre le Programme de Prime de Menace!