Silver Sparrow: Novo Malware para Mac Infecta Silenciosamente Usuários com Propósito Misterioso

[post-views]
Fevereiro 24, 2021 · 4 min de leitura
Silver Sparrow: Novo Malware para Mac Infecta Silenciosamente Usuários com Propósito Misterioso

Analistas de cibersegurança detectaram uma amostra sofisticada de malware que ataca usuários da Apple em campo. A pesquisa conjunta da Red Canary, Malwarebytes e VMWare Carbon Black detalha que aproximadamente 30.000 hosts em 153 países foram comprometidos pela nova ameaça chamada Silver Sparrow. As taxas de infecção mais altas foram identificadas nos Estados Unidos, Canadá, França, Reino Unido e Alemanha.

Atualmente, os métodos de entrega do Silver Sparrow permanecem desconhecidos e, o que é ainda mais interessante, o objetivo final da atividade maliciosa ainda não foi determinado. No entanto, profissionais de segurança apontam para a sofisticação da nova ameaça devido à sua capacidade de atingir novos chips Apple M1, novas táticas de evasão e comportamento malicioso incomum.

Descrição do Silver Sparrow

Em fevereiro de 2021, analistas de segurança descobriram duas variantes existentes do Silver Sparrow distribuídas sob nomes de arquivo updater.pkg. and nomes de arquivo updater.pkg. ambas as variantes são semelhantes em funcionalidade, a única distinção é que nomes de arquivo updater.pkg. contém um binário Mach-O suportando ambas as arquiteturas Intel x86_64 e M1 ARM64, enquanto nomes de arquivo updater.pkg. suporta exclusivamente a arquitetura Intel x86_64.

Ao contrário da maioria dos exemplos de software malicioso para Mac que dependem de scripts de reinstalação ou pós-instalação para executar comandos, o Silver Sparrow abusa da API JavaScript do Instalador do macOS legítimo para esse propósito. É uma novidade notável, permitindo que a ameaça evite a detecção, já que esse tipo de abordagem produz uma telemetria diferente e engana os pesquisadores durante a análise da atividade maliciosa.

Após a infecção, o Silver Sparrow depende de funções JavaScript para produzir scripts shell e conectar-se ao servidor de comando e controle (C&C) do operador. Em seguida, o malware cria arquivos XML LaunchAgent Plist para lançar repetidamente esses scripts enquanto aguarda novos comandos de seus mantenedores. No entanto, as amostras inspecionadas por especialistas nunca receberam instruções. Embora isso possa ser um sinal de uma variante defeituosa, especialistas assumem que o Silver Sparrow pode detectar a análise, de modo que não envia executáveis de segunda fase aos hosts sob pesquisa.

Além do quebra-cabeça do objetivo final, o Silver Sparrow realiza uma verificação de arquivo incomum. Particularmente, o malware verifica a presença de ~/Library/._insu no disco e, se identificado, o Silver Sparrow exclui todos os seus arquivos do sistema. O propósito dessa verificação atualmente permanece desconhecido.

Outra indicação da sofisticação do Silver Sparrow é o fato de ser compatível com sistemas macOS executando o mais recente chip M1 da Apple. É a segunda ameaça já detectada a suportar arquiteturas M1 ARM64. Tal inovação complica significativamente a análise estática e reduz a taxa de detecção dessa variante maliciosa por soluções antivírus.

Detecção do Silver Sparrow

Em 22 de fevereiro de 2021, a Apple revogou os certificados usados pelos criadores do Silver Sparrow para assinar os pacotes de instalação. Desta forma, o fornecedor protege seus usuários de uma maior propagação de malware e bloqueia novas infecções.

Para detectar a possível atividade maliciosa relacionada ao malware Silver Sparrow, baixe uma regra Sigma exclusiva da Equipe SOC Prime no Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/abqGAiP8fz3K/fVpgzncBTwmKwLA9K4Q1/#rule-source-code

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

MITRE ATT&CK:

Táticas: Execução

Técnicas: Interface de Linha de Comando (T1059)

A menos que você não tenha acesso pago ao Threat Detection Marketplace, essa regra Sigma exclusiva pode ser desbloqueada ativando seu teste gratuito sob uma assinatura de comunidade.

Inscreva-se no Threat Detection Marketplace para acessar uma biblioteca SOC líder da indústria contendo 95.000+ regras de detecção, parsers, consultas de busca e outros conteúdos mapeados para frameworks CVE e MITRE ATT&CK®. A base de conteúdo enriquece a cada dia com os esforços conjuntos de nossa comunidade internacional de 300+ executores de segurança. Quer se tornar parte de nossas iniciativas de caça a ameaças? Junte-se ao Programa Threat Bounty!

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Veronika Telychko
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Ameaças Mais Recentes, Blog — 6 min de leitura
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Veronika Telychko