Silver Sparrow: Nuovo Malware per Mac infetta silenziosamente gli Utenti per un Misterioso Scopo
Indice:
Gli analisti di sicurezza informatica hanno rilevato un campione di malware sofisticato che attacca gli utenti Apple allo stato selvaggio. La ricerca congiunta di Red Canary, Malwarebytes e VMWare Carbon Black indica che circa 30.000 host in 153 paesi sono stati compromessi dalla nuova minaccia denominata Silver Sparrow. I tassi di infezione più alti sono stati rilevati negli Stati Uniti, in Canada, in Francia, nel Regno Unito e in Germania.
Attualmente, i metodi di consegna di Silver Sparrow restano sconosciuti e, cosa ancora più interessante, l’obiettivo finale dell’attività dannosa è ancora indeterminato. Tuttavia, i professionisti della sicurezza sottolineano la sofisticazione della nuova minaccia a causa della sua capacità di mirare ai nuovi chip Apple M1, innovative tattiche di evasione e insolito comportamento malevolo.
Descrizione di Silver Sparrow
A partire da febbraio 2021, gli analisti della sicurezza hanno scoperto due varianti esistenti di Silver Sparrow distribuite con nomi di file updater.pkg. Entrambi i ceppi sono simili in funzionalità , l’unica distinzione è che and nomi di file updater.pkg. Entrambi i ceppi sono simili in funzionalità , l’unica distinzione è che file names. Both strains are similar in functionality, the only distinction is that nomi di file updater.pkg. Entrambi i ceppi sono simili in funzionalità , l’unica distinzione è che contiene un binario Mach-O che supporta sia le architetture Intel x86_64 che M1 ARM64, mentre nomi di file updater.pkg. Entrambi i ceppi sono simili in funzionalità , l’unica distinzione è che supporta esclusivamente l’architettura Intel x86_64.
Contrariamente alla maggior parte dei campioni di software malevolo per Mac esistenti che si basano su script di reinstallazione o post-installazione per eseguire comandi, Silver Sparrow abusa dell’API JavaScript Installer legittima di macOS per questo scopo. È una novità notevole che consente alla minaccia di eludere la rilevazione poiché tale approccio produce telemetria diversa e fuorvia i ricercatori durante l’analisi dell’attività malevola.
Dopo l’infezione, Silver Sparrow si affida a funzioni JavaScript per produrre script shell e connettersi al server di comando e controllo (C&C) dell’operatore. Successivamente, il malware crea file XML di LaunchAgent Plist per lanciare ripetutamente questi script mentre attende i nuovi comandi dai suoi manutentori. Tuttavia, i campioni esaminati dagli esperti non hanno mai ricevuto alcuna istruzione. Sebbene possa essere un segno di una variante malfunzionante, gli esperti presumono che Silver Sparrow possa rilevare l’analisi, quindi non spinge alcun eseguibile di seconda fase agli host oggetto della ricerca.
A parte l’incognita dell’obiettivo finale, Silver Sparrow esegue un controllo insolito sui file. In particolare, il malware verifica la presenza del ~/Library/._insu sul disco, e se identificato, Silver Sparrow elimina tutti i suoi file dal sistema. Lo scopo di questo controllo è attualmente sconosciuto.
Un’altra indicazione della sofisticazione di Silver Sparrow è il fatto che è compatibile con i sistemi macOS che eseguono il più recente chip M1 di Apple. È la seconda minaccia mai rilevata di supportare le architetture M1 ARM64. Tale innovazione complica notevolmente l’analisi statica e abbassa il tasso di rilevamento per questa variante malware da parte delle soluzioni antivirus.
Rilevamento di Silver Sparrow
Il 22 febbraio 2021, Apple ha revocato i certificati utilizzati dai creatori di Silver Sparrow per firmare i pacchetti di installazione. In questo modo il fornitore protegge i suoi utenti da ulteriore diffusione di malware e blocca eventuali nuove infezioni.
Per rilevare possibili attività malevole legate al malware Silver Sparrow, scarica una regola Sigma esclusiva dal Team SOC Prime dal Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/abqGAiP8fz3K/fVpgzncBTwmKwLA9K4Q1/#rule-source-code
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
Tattiche: Esecuzione
Tecniche: Interfaccia della riga di comando (T1059)
A meno che tu non abbia accesso a pagamento al Threat Detection Marketplace, questa regola Sigma esclusiva può essere sbloccata attivando la tua prova gratuita sotto un abbonamento comunitario.
Iscriviti al Threat Detection Marketplace per accedere a una libreria SOC leader nel settore contenente oltre 95.000 regole di rilevamento, parser, query di ricerca, e altri contenuti mappati ai framework CVE e MITRE ATT&CK®. La base di contenuti si arricchisce ogni giorno grazie agli sforzi congiunti della nostra comunità internazionale composta da oltre 300 operatori di sicurezza. Vuoi far parte delle nostre iniziative di threat hunting? Unisciti al Threat Bounty Program!
