M1 Mac がさらなるマルウェアの標的に、正確な脅威は依然として謎のまま

M1 Mac 上でネイティブに実行するようにコンパイルされた 2 番目の既知のマルウェア が、セキュリティ会社 Red Canary によって発見され ました。

「Silver Sparrow」という名前のこの悪意のあるパッケージは、macOS インストーラー JavaScript API を利用して不審なコマンドを実行すると言われています。しかし、このマルウェアを 1 週間以上観察した後、Red Canary もその研究パートナーも最終的なペイロードを観察しなかったため、このマルウェアがもたらす正確な脅威は謎のままです。

それにもかかわらず、Red Canary は、このマルウェアは「かなり深刻な脅威」である可能性があると述べました。

Silver Sparrow が追加の悪意のあるペイロードを配信する様子はまだ観察されていませんが、その将来を見据えた M1 チップの互換性、世界的な展開、比較的高い感染率、運用の成熟度から、Silver Sparrow はかなり深刻な脅威であり、潜在的に影響を与える可能性のあるペイロードを配信する独自​​の立場にあることが示唆されています。すぐに。

Malwarebytes が提供したデータによると、「Silver Sparrow」は 2 月 17 日の時点で 153 か国の 29,139 macOS システムに感染しており、その中には「米国、英国、カナダ、フランス、ドイツで大量の検出」が含まれています。 Red Canary は、これらのシステムのうち何台が M1 Mac であるかについては明らかにしませんでした。

「Silver Sparrow」バイナリがまだ「それほど多くのことをしているようには見えない」ことを考慮して、Red Canary はそれらを「傍観者バイナリ」と呼んでいます。 Intel ベースの Mac で実行されると、悪意のあるパッケージは単に「Hello, World!」と表示された空白のウィンドウを表示します。というメッセージが表示されますが、Apple シリコンのバイナリでは、「やったね!」という赤いウィンドウが表示されます。

Red Canary は、macOS のさまざまな脅威を検出するための方法を共有しましたが、その手順は「Silver Sparrow」の検出に特化したものではありません。

– LaunchAgents、RunAtLoad、true を含むコマンド ラインと連動して実行されている PlistBuddy と思われるプロセスを探します。この分析は、LaunchAgent の永続性を確立している複数の macOS マルウェア ファミリを見つけるのに役立ちます。
– sqlite3 と連動して実行されていると思われるプロセスを探します。
LSQuarantine を含むコマンド ライン。この分析は、ダウンロードされたファイルのメタデータを操作または検索している複数の macOS マルウェア ファミリを見つけるのに役立ちます。
– s3.amazonaws.com を含むコマンドラインと連動してcurlが実行されていると思われるプロセスを探します。この分析は、配布に S3 バケットを使用している複数の macOS マルウェア ファミリを見つけるのに役立ちます。

M1 Mac 上でネイティブに実行できる最初のマルウェアが 、つい数日前に発見されました 。この 2 番目のマルウェアに関する技術的な詳細については、 Red Canary のブログ投稿 を参照してください。また、 Ars Technica にも優れた説明があります 。