Skip to main content

Было обнаружено больше вредоносных программ, влияющих на Apple Silicon Mac, но исследователи обнаружили, что на данный момент в них отсутствует вредоносная полезная нагрузка.

Похоже, что на компьютеры Mac на базе Apple M1 может быть больше вредоносных программ, чем предполагалось ранее. Согласно первоначальным сообщениям о первом вредоносном ПО M1, обнаруженном в дикой природе, кажется, что заражений вредоносными программами больше, но особенно беззубых.

В начале февраля исследователи из Red Canary обнаружили штамм вредоносных программ для macOS, которые использовали LaunchAgent для своего присутствия, как и некоторые другие виды вредоносных программ. Исследователей интересовало то, что вредоносное ПО вело себя не так, как обычное рекламное ПО, из-за того, как оно использует для выполнения JavaScript.

Кластер вредоносных программ, названный исследователями «Silver Sparrow», также включал двоичный файл, скомпилированный для работы с чипами M1. Это сделало его вредоносным ПО, которое потенциально могло быть нацелено на Apple Silicon Mac.

Дальнейшее исследование, проведенное исследователями из VMware Carbon Black и Malwarebytes, показало, что Silver Sparrow, вероятно, был «ранее не обнаруженной разновидностью вредоносного ПО». По состоянию на 17 февраля он был обнаружен в 29 139 конечных точках macOS в 153 странах, при этом основная часть инфекций приходилась на США, Великобританию, Канаду, Францию ​​и Германию.

На момент публикации вредоносное ПО не использовалось для доставки вредоносной нагрузки на Mac-жертвы, хотя в будущем это может измениться. Из-за совместимости с M1, «относительно высокого уровня заражения» и операционной зрелости вредоносной программы она была сочтена достаточно серьезной угрозой, которая «имеет уникальные возможности доставить потенциально значимую полезную нагрузку в любой момент», что побудило публичное раскрытие.

Были обнаружены две версии вредоносного ПО, при этом полезная нагрузка одной версии состояла из двоичного файла, затрагивающего только компьютеры Mac на базе Intel, а другая представляла собой двоичный файл, который был скомпилирован для архитектур Intel и M1. Полезная нагрузка, по-видимому, является заполнителем, поскольку первая версия открывает окно, в котором буквально написано «Hello, World!» а во втором говорится: «Ты сделал это!»

Пример включенного двоичного файла [via Red Canary]

Если бы это была вредоносная программа, полезная нагрузка потенциально могла бы позволить одним и тем же или аналогичным инструкциям полезной нагрузки воздействовать на обе архитектуры из одного исполняемого файла.

Механизм вредоносной программы работал с файлами с названиями «update.pkg» и «updater.pkg», принимая вид установщиков. Они используют JavaScript API установщика macOS для выполнения подозрительных команд.

Такое поведение иногда наблюдается с легальным программным обеспечением, а не с вредоносным ПО, которое обычно использует предустановочные или постустановочные сценарии для выполнения команд.

В случае успеха заражение пытается проверить определенный URL-адрес на наличие загружаемого файла, который может содержать дальнейшие инструкции или окончательную полезную нагрузку. Неделя мониторинга вредоносного ПО привела к тому, что окончательная полезная нагрузка не стала доступной, и в будущем она может измениться.

Исследователям осталось несколько вопросов о Серебряном воробье без ответа. К ним относятся места, где исходные файлы PKG использовались для заражения систем, и элементы кода вредоносного ПО, которые, похоже, являются частью более широкого набора инструментов.

«Конечная цель этого вредоносного ПО остается загадкой, — признает Red Canary. «У нас нет возможности с уверенностью узнать, какая полезная нагрузка будет распространяться вредоносным ПО, была ли полезная нагрузка уже доставлена ​​и удалена, или у злоумышленника есть будущие сроки распространения».

Существует также вопрос о включении исполняемых файлов «Hello World», поскольку двоичный файл не будет запускаться, если жертва активно его не найдет и не запустит, а не запустится автоматически. Исполняемые файлы предполагают, что это могло быть вредоносное ПО, находящееся в стадии разработки, или что для того, чтобы вредоносное ПО выглядело легитимным для других сторон, был необходим пакет приложений.