Pochi giorni fa vi abbiamo informato della scoperta dei primi malware in grado di essere eseguiti nativamente sui chip Apple M1. Del resto, era piuttosto prevedibile il loro arrivo, data l’ottima accoglienza ricevuta dal nuovo SoC sia dalla stampa che dagli utenti stessi, senza contare il fatto che si tratta solo del primo di una linea di chip che la compagnia di Cupertino utilizzerà su tutti i suoi prossimi Mac. I ricercatori di Red Canary hanno analizzato recentemente uno di questi primi malware, ribattezzato Silver Sparrow.
Come indicato sul blog di Malwarebytes, l’applicazione malevola viene distribuita attraverso un file d’installazione chiamato update.pkg o updater.pkg che, una volta avviato, chiede la conferma dell’utente per effettuare una verifica allo scopo di determinare se il software può essere installato. Ovviamente, questa è l’ultima occasione per cancellare l’operazione ed evitare di essere infettati. Il malware, in seguito, eseguirà del codice Javascript per l’inserimento di un launcher che andrà ad eseguire il codice presente nello script verx.sh ogni ora, il quale contatterà un server presente su Amazon AWS ricevendo alcuni dati e cercherà il file ~/Library/.insu. Quest'ultimo, a quanto pare, è privo di contenuto e serve solo al malware come riferimento per terminare l’esecuzione. Tra i dati che il malware riceve dal server AWS è presente il campo “downloadUrl” che, nel momento in cui stiamo scrivendo, non presenta alcun argomento, ma sappiamo che, potenzialmente, potrebbe scaricare ulteriore codice malevolo sulle macchine infettate, causando danni al momento sconosciuti.
I ricercatori di Malware Bytes e Red Canary hanno collaborato per scoprire il più possibile su questo malware. Al momento, il maggior numero di casi è stato riscontato negli Stati Uniti (oltre 25.000), seguiti da Regno Unito e Canada, ma sembra che la situazione sia ancora sotto controllo, dato che non si tratta di un software diffuso ampiamente a livello mondiale. Attualmente, il vero scopo di Silver Sparrow, individuato da Malwarebytes come OSX.SilverSparrow, rimane ancora un mistero, ma ovviamente consigliamo vivamente la sua rimozione così da evitare eventuali problemi futuri. Per ulteriori approfondimenti, vi consigliamo la lettura dell’articolo completo pubblicato sul blog di Malwarebytes.
Il nuovo MacBook Air con chip Apple M1 è disponibile su Amazon con spedizione in un giorno, non fatevelo scappare!