30.000 Mac infectadas con el nuevo malware Silver Sparrow

Los investigadores de seguridad han detectado una nueva operación de malware dirigida a dispositivos Mac que ha infectado silenciosamente casi 30.000 sistemas.

Nombrado Silver Sparrow, el malware fue descubierto por investigadores de seguridad de Red Canary y analizado junto con investigadores de Malwarebytes y VMWare Carbon Black.

“Según los datos proporcionados por Malwarebytes, Silver Sparrow había infectado 29.139 puntos finales de macOS en 153 países hasta el 17 de febrero, incluidos altos volúmenes de detección en Estados Unidos, Reino Unido, Canadá, Francia y Alemania”, escribió Tony Lambert de Red Canary. en un informe publicado la semana pasada.

Pero a pesar de la gran cantidad de infecciones, los detalles sobre cómo se distribuyó el malware y los usuarios infectados aún son escasos, y no está claro si Silver Sparrow estaba oculto dentro de anuncios maliciosos, aplicaciones pirateadas o actualizadores de Flash falsos, el vector de distribución clásico para la mayoría de malware de Mac.

Además, el propósito de este malware tampoco está claro y los investigadores no saben cuál es su objetivo final.

Una vez que Silver Sparrow infecta un sistema, el malware solo espera nuevos comandos de sus operadores, comandos que nunca llegaron durante el tiempo que los investigadores lo analizaron, con la esperanza de aprender más sobre su funcionamiento interno antes de publicar su informe.

Análisis de Red Canary

La investigación realizada por el equipo de Red Canary descubrió dos versiones del malware Silver Sparrow, a las que se refieren como “versión 1” y “versión 2” a lo largo de esta publicación:

  • Malware versión 1
    Nombre de archivo: updater.pkg (installer package for v1)
    MD5: 30c9bc7d40454e501c358f77449071aa
    Muestra de VirusTotal
  • Malware versión 2
    Nombre de archivo: update.pkg (installer package for v2)
    MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
    Muestra de VirusTotal

El equipo de Red Canary indica que aparte de un cambio en las URL de descarga y los comentarios del script, las dos versiones solo tenían una diferencia importante. La primera versión contenía un binario Mach-O compilado solo para la arquitectura Intel x86_64 (actualizador MD5: c668003c9c5b1689ba47a431512b03cc). En la segunda versión, se incluyó un binario Mach-O compilado para las arquitecturas Intel x86_64 y M1 ARM64 (tasker MD5: b370191228fef82635e39a137be470af). Esto es significativo porque la arquitectura M1 ARM64 es joven.

Los binarios compilados de Mach-O no parecen hacer mucho, al menos no al momento de la investigación realizada, por lo que los denominaron “binarios de espectadores”. La siguiente imagen representa una mirada de alto nivel a las dos versiones del malware Silver Sparrow.

Silver Sparrow ejecución

Tipo de distribución

El atacante distribuyó el malware en dos paquetes distintos: updater.pkg y update.pkg. Ambas versiones usan las mismas técnicas para ejecutar, difiriendo solo en la compilación del binario transeúnte.

Respuesta de Apple

En respuesta a los hallazgos, Apple ha revocado los archivos binarios que se firmaron con Saotia Seay (v1) y Julie Willey (v2) del ID de desarrollador de Apple, evitando así instalaciones adicionales.

Silver Sparrow es la segunda pieza de malware que contiene código que se ejecuta de forma nativa en el nuevo chip M1 de Apple. La semana pasada se identificó que una extensión de software publicitario de Safari llamada GoSearch22 se había adaptado para ejecutarse en la última generación de Mac con tecnología de los nuevos procesadores.

Fuentes: