Actualités

Un malware mystérieux infecte 30000 ordinateurs Mac

Par Gabriel, le 23 février 2021 — 7 minutes de lecture
Un malware mystérieux infecte 30000 ordinateurs Mac

Connu sous le nom de Silver Sparrow, l’intention du logiciel malveillant est encore inconnue car il n’a pas encore fourni de charge utile réelle, déclare la société de sécurité Red Canary.

Image: kaptnali, / iStockphoto

Un logiciel malveillant qui a infecté près de 30000 ordinateurs Mac a soulevé des questions sur son intention et sa charge utile finale.

VOIR: Politique de sensibilisation et de formation à la sécurité (Netcost-Security Premium)

Sur la base des données de Malwarebytes, le malware surnommé Silver Sparrow par les chercheurs de Red Canary, a jusqu’à présent atterri sur 29139 machines macOS dans 153 pays, dont les États-Unis, le Royaume-Uni, le Canada, la France et l’Allemagne. Des questions ont été soulevées parce que le malware n’a encore rien fait de malveillant, ce qui signifie qu’il n’y a pas eu de livraison de charge utile observée et aucune conclusion quant à son objectif.

Ce que l’on sait, c’est que Silver Sparrow est une souche de malware conçue pour les Mac alimentés par la nouvelle puce Apple M1, que la société a introduite à la fin de l’année dernière pour s’éloigner de l’architecture Intel. Cela en fait seulement le deuxième élément connu de malware macOS à cibler les nouvelles puces, selon Ars Technica. Avec la partie de la charge utile manquante et d’autres questions, le malware a suscité des inquiétudes parmi les chercheurs de Red Canary.

« Bien que nous n’ayons pas encore observé Silver Sparrow délivrant des charges utiles malveillantes supplémentaires, sa compatibilité avec les puces M1 tournées vers l’avenir, sa portée mondiale, son taux d’infection relativement élevé et sa maturité opérationnelle suggèrent que Silver Sparrow est une menace raisonnablement sérieuse, positionnée de manière unique pour fournir un impact potentiellement charge utile à tout moment », a déclaré Red Canary dans un article de blog publié jeudi dernier.

Pour son analyse, Red Canary a déclaré que ses chercheurs avaient découvert deux versions du malware: une compilée pour l’architecture Intel x86_64 uniquement et une seconde compilée pour les architectures Intel x86_64 et M1 ARM64. Jusqu’à présent, le code binaire de Silver Sparrow ne semble pas faire grand chose, ce qui a incité Red Canary à s’y référer comme des «binaires spectateurs».

Le malware est distribué dans deux packages différents: updater.pkg et update.pkg. Les deux utilisent les mêmes techniques d’exécution, la seule différence étant dans la compilation du code binaire. Le binaire pour updater.pkg semble être un espace réservé pour d’autres contenus. Pour l’instant, l’exécution du script affiche simplement le message: « Hello, World! » De même, l’exécution du binaire pour update.pkg affiche le message: « Vous l’avez fait! »

Le malware infecte une machine via un processus spécifique, explique Tony Lambert, analyste du renseignement pour Red Canary, à Netcost-Security:

Lors de l’exécution de tâches de routine sur Internet, telles que l’affichage des résultats des moteurs de recherche, vous rencontrez une page qui vous demande de télécharger une mise à jour. Une fois téléchargé, vous cliquez sur les avertissements et installez le fichier PKG téléchargé. Lors de l’installation, le malware crée un mécanisme de persistance, qui garantit qu’il reste sur la machine. Après cela, les scripts s’exécutent à intervalles réguliers pour vérifier toute charge utile supplémentaire.

Un aspect unique de Silver Sparrow est que ses packages d’installation tirent parti de l’API JavaScript du programme d’installation de macOS pour exécuter des commandes suspectes, selon les chercheurs de Red Canary, la première fois qu’ils ont vu cette tactique utilisée par des logiciels malveillants.

« La nouveauté de cette menace est double », a déclaré Lambert. « Premièrement, nous ne voyons généralement pas de logiciels malveillants utilisant JavaScript dans un fichier PKG pour effectuer des actions comme le fait Silver Sparrow. Deuxièmement, une version de Silver Sparrow contenait un exécutable d’espace réservé compilé pour prendre en charge l’architecture M1. »

Silver Sparrow est une menace potentielle car il permet de télécharger et d’exécuter du code arbitraire à l’insu de l’utilisateur, a ajouté Lambert. Cela peut inclure du code potentiel de n’importe quelle URL. Bien que Silver Sparrow semble inoffensif pour le moment, les personnes derrière cela pourraient simplement jeter les bases d’une attaque malveillante.

«Le but ultime de ce malware est un mystère», a déclaré Red Canary dans son article de blog. «Nous n’avons aucun moyen de savoir avec certitude quelle charge utile serait distribuée par le logiciel malveillant, si une charge utile a déjà été livrée et supprimée, ou si l’adversaire a un calendrier de distribution futur. Sur la base des données que Malwarebytes nous partage, le 30 000 hôtes concernés n’ont pas téléchargé la charge utile suivante ou finale. « 

Malwarebytes lui-même ne semble pas aussi préoccupé par Silver Sparrow.

« La plupart de ce qui a été trouvé n’était pas vraiment opérationnel », a déclaré Thomas Reed, directeur de Malwarebytes pour Mac et Malware, à Netcost-Security. « Il y a des signes que cela pourrait être une campagne abandonnée, car les serveurs de commande et de contrôle ne fournissaient pas de charge utile au moment de la découverte, et les données que nous avons vues indiquent que la plupart des machines ‘infectées’ avaient en fait le malware auto. -destruct à un moment donné et ne sont plus vraiment infectés. « 

Reed a déclaré qu’il ne voyait pas cela comme une menace potentielle, car aucune infection vraiment active ne semble être dans la nature et le logiciel malveillant ne semble pas encore actif dans son état actuel. Mais il a reconnu que l’apparition d’une variante encore à découvrir de ce malware pourrait constituer une menace. En tant que tel, les utilisateurs doivent supprimer tous les composants du malware de leur ordinateur, ce qu’un programme comme Malwarebytes peut faire gratuitement.

Conscient de Silver Sparrow, Apple a également pris des mesures pour l’atténuer, a déclaré un porte-parole de la société à Netcost-Security. Après avoir découvert le malware, Apple a révoqué les certificats des comptes de développeur qui ont signé les packages, ce qui empêche les nouveaux ordinateurs d’être infectés. En outre, la société utilise une protection telle que le service de notaire Apple pour détecter et empêcher les logiciels malveillants de s’exécuter sur une machine.

Même avec la protection d’Apple, Red Canary conseille aux utilisateurs d’exécuter des produits antivirus ou anti-programme malveillant tiers pour compléter les protections anti-programme malveillant du système d’exploitation. Sur un plan plus technique de sécurité ou de développeur, Red Canary propose également les conseils suivants aux entreprises:

  1. Recherchez un processus qui semble être PlistBuddy en cours d’exécution en conjonction avec une ligne de commande contenant les éléments suivants: LaunchAgents et RunAtLoad et true. Cette analyse permet de trouver plusieurs familles de logiciels malveillants macOS établissant la persistance de LaunchAgent.
  2. Recherchez un processus qui semble s’exécuter sqlite3 en conjonction avec une ligne de commande contenant LSQuarantine. Cette analyse permet de trouver plusieurs familles de logiciels malveillants macOS manipulant ou recherchant des métadonnées pour les fichiers téléchargés.
  3. Recherchez un processus qui semble s’exécuter en conjonction avec une ligne de commande contenant s3.amazonaws.com. Cette analyse permet de trouver plusieurs familles de logiciels malveillants macOS à l’aide de compartiments S3 pour la distribution.

Note de l’éditeur: cet article a été mis à jour avec des commentaires supplémentaires.

Gabriel

Gabriel

La tech va chaque jour plus vite et il peut-être difficile de suivre cette thématique. Grâce à mes articles, j'espère vous faire ressortir les sujets importants et intéressants afin de ne rien louper cette actualité toujours en pleine agitation.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.