全球近3万台Mac电脑已感染恶意软件Silver Sparrow，尚不清楚其目标

发布时间：2021-02-24 20:58:13来源：FreeBuf

最近几天，安全研究人员连续发现两款针对苹果M1芯片的恶意软件，一款是SilverSparrow（银雀），另一款是GoSearch22，而此时距离M1芯片发布才3个月。

据AppInsider2月22日报道，安全研究公司RedCanary表示全球近3万台Mac电脑已经感染了恶意软件SilverSparrow，但尚不清楚该恶意软件的目标。

苹果方面表示已撤销SilverSparrow内二进制档案的开发者凭证，在产品和服务中采用了许多安全性硬件和软件保护，并部署了可以防止威胁产生影响的常规软件更新。

根据阻止勒索软件攻击的网站Malwarebytes的数据，截至2月17日，SilverSparrow感染了153个国家的29139台Mac设备，其中美国、英国、加拿大、法国和德国的集中度更高。

研究人员称，SilverSparrow并非典型的恶意广告软件。大多数macOS广告软件使用“预安装”和“后安装”脚本来执行命令，或者安装更多的恶意软件，但SilverSparrow利用JavaScript来执行其命令。使用JavaScript会产生不同的遥测，使其更难根据命令行参数来检测恶意活动。

SilverSparrow使用JavaScript创建shell脚本与命令和控制服务器通信，并创建LaunchAgentPlistXML文件以定期执行shell脚本。

LaunchAgent会每小时检测控制服务器，确认是否有新的指令。在运行时，恶意软件会检查是否存在~/Library/._insu文件，一旦发现就将删除该文件及所有相关文件。

SilverSparrow存在两种版本，分别针对英特尔的x86处理器以及搭载苹果M1芯片的新款Mac电脑。

RedCanary指出，两种版本的SilverSparrow内含的二进制档案尚无太大威胁，x86版本在Mac上执行时，只会跳出一个显示“HelloWorld!”的窗口，而M1版本执行时则是跳出“Youdidit!”的红底窗口。

研究人员表示，尽管尚未观察到SilverSparrow造成的伤害，但考虑到M1芯片的兼容性、感染范围、相对较高的感染率等特性，该恶意软件时非常严重的资料安全威胁。

在SilverSparrow被发现的前几天，研究人员刚刚发现了第一款针对M1芯片的恶意软件GoSearch22。

该恶意软件由Mac资料安全研究人员PatrickWardle发现，它是Mac广告软件Pirrit的变体，专门针对M1版本。Pirrit向用户推送欺骗性广告，当用户点击时，就会下载安装流氓软件并暗中收集用户信息。

而变体后的GoSearch22具有高度混淆性，可以伪装成合法的Safari浏览器扩展程序，默默收集用户浏览数据并投放大量恶意网站广告，导致用户感染更多恶意软件。

GoSearch22在去年11月获得苹果开发者凭证，并在12月底正式登场，被曝光后，已被苹果撤销开发者凭证。

虽然目前只有MacBookAir、MacBookPro及Macmini三款新机搭载了M1芯片，但根据苹果在未来2年内Mac系列产品将全面改用M1芯片的承诺，日后针对M1芯片的恶意软件将快速增加，受影响的Mac系列产品也将不止3万台，苹果和Mac用户将面临更大挑战。

精彩推荐