Se descubre nueva variante del malware Silver Sparrow para Mac OS con soporte para los chips M1, medio año después de observarse por primera vez
Hace unos días escribíamos acerca del malware para Mac GoSearch22, siendo este el primero conocido para los chips M1 de Apple, y hoy nos toca escribir sobre el segundo, contando este con soporte tanto para los procesadores x86_64 como para los nuevos procesadores de la marca. Este nuevo malware resulta ser una variante de un viejo conocido ya reportado el 31 de agosto de 2020, con nombre Silver Sparrow.
La amenaza fue descubierta originalmente el año pasado por Red Canary para Mac, como un malware que utiliza javascript para su instalación y scripts shell para asegurar su persistencia y conectar con los servidores C2. No obstante, tenía como dependencia un binario compilado para x86_64, incompatible con los nuevos procesadores de Apple.
La nueva versión del malware, subido a virustotal el pasado día 22, incluye en su lugar un binario compilado para ambas arquitecturas. Según Red Canary, dicho binario no parece de utilidad, mostrando en su primera versión el mensaje «Hello, world!» y en esta segunda «You did it!», pudiendo ser probablemente mensajes de prueba.
En ambas versiones se aprovecha la API Javascript de instalación de MacOS, por lo que dicho proceso no difiere entre ambas versiones. Este nuevo ataque, el cual ya ha afectado a 30.000 equipos de ambas arquitecturas, aprovecha la clave de desarrollador de Julie Willey (MSZ3ZH74RK), encontrándose ya revocada por Apple.
El malware dispone de medidas para asegurar su borrado de la máquina, por lo que es posible haber sido víctima de este nuevo ataque sin conocerlo. Debido a que la clave de desarrollador ha sido revocada ya no es posible su instalación, pero todavía podría estar presente en muchos de los equipos que lo instalaron antes de su bloqueo.
Más información:
Cortar las alas de Silver Sparrow:
https://redcanary.com/blog/clipping-silver-sparrows-wings/
Deja una respuesta