Silver Sparrow Malware infiziert fast 40.000 macOS Geräte

24. März, 2021
Silver Sparrow Malware infiziert fast 40.000 macOS Geräte

Forscher von drei IT-Sicherheitsfirmen haben eine neue Apple Mac-Malware gefunden. Sie weist sehr ungewöhnliche Eigenschaften auf, die den Forschern Rätsel aufgibt. Die Malware ist speziell für Angriffe den neuen Apple M1-Chip programmiert worden. Bisher sind etwa 40.000 macOS Endgeräte in 135 Ländern damit infiziert. Was es damit auf sich hat, ist den Forschern nicht bekannt.

Apple war bis dato immer besonders stolz auf die Sicherheit seines macOS und Apple Kunden schätzen diese Tatsache sehr. Inzwischen hat sich das Blatt gewendet und das einst so sicherer Apple Betriebssystem wird zunehmend von Malware, Ransomware und Adware angegriffen. Im aktuellsten Fall der Malware genannt Silver Sparrow wurden rund 40.000 macOS Geräte in 153 Ländern infiziert, wobei die meisten Vorfälle in den USA, Großbritannien, Kanada, Frankreich und Deutschland beobachtet wurden. Zeitgleich hatte der unabhängige Sicherheitsforscher Patrick Wardle übrigens eine neue Pirrit-Adware entdeckt, die er in einem Blogpost ausführlich beschrieb.

Forscherteams analysierten die Mac-Malware gemeinsam

Silver Sparrow wurde von Sicherheitsforschern bei Red Canary entdeckt. Gemeinsamt mit Forschern von Malwarebytes und VMWare Carbon Black wurde sie dann eingehend analysiert. In dem Bericht von RedCanary erläuterten die Forscher, dass sich Silver Sparrow von der meisten für das macOS entwickelten Malware stark unterscheidet. Silver Sparrow wird in zwei verschiedenen Dateien, einmal unter dem Dateinamen ‚updater.pkg‘ [VirusTotal] und auch als ‚update.pkg‘ [VirusTotal] verbreitet. Laut Red Canary unterscheiden sie sich nur in einem Punkt, nämlich, dass die Datei update.pkg sowohl eine Intel x86_64 und auch eine Apple M1-Binärdatei enthält. Die updater.pkg enthält dagegen nur eine ausführbare Intel-Datei für Apple Produkte mit dem älteren macOS.

Etwas zum M1 Chip von Apple: Im letzten Quartal 2021 hat Apple sein M1-System-on-a-Chip (SoC) veröffentlicht, was ein Novum war für das Unternehmen. Apple beabsichtigte mit der Eigenentwicklung einige Verbesserungen gegenüber dem bisher verwendeten Chip von Intel. Die nativen Apps laufen damit deutlich schneller und darin integriert sind ein Grafikprozessor, eine maschinell lernende neuronale Maschine und der Apple T2-Sicherheitschip. Zudem nutzt M1 eine ARM-Architektur, die auch in mobilen Geräten zur Stromversorgung eingebaut sind. Bekannt ist das kleinere ARM-Profil für seinen geringen Stromverbrauch bekannt, was laut Apple die Akkulaufzeit verdoppelt.

Einblicke in die Silver Sparrow Malware

Silver Sparrow ist vermutlich eine Adware. Ausgeführt wird sie mit JavaScript. Wie genau die eigentliche Infektion der Geräte abläuft ist den Forschern noch nicht bekannt. Nach der Installation der macOS Installer JavaScript-API nutzt Silver Sparrow den Befehl system.run von Apple zur Ausführung.

Laut den Forschern hat Apple seinen system.run-Code als Start eines bestimmten Programms im Ressourcenverzeichnis des Installationspakets dokumentiert. Er sei jedoch nicht auf die Verwendung des Ressourcenverzeichnisses beschränkt. Die Malware veranlasst das Installationsprogramm, mehrere Bash-Prozesse zu erzeugen, mit denen es dann seine Aufgabe ausführt.

Einmal ausgeführt, hinterlässt Silver Sparrow zwei Skripts auf der Festplatte in /tmp/agent.sh und ~ / Library / Application Support / verx_updater / verx.sh. Dadurch wird agent.sh gleich nach der Installation ausgeführt und kontaktiert den Command-and-Control-Server um die erfolgreiche Installation zu melden. Dann wird verx.sh in stündlichen Abständen ausgeführt und verwendet dazu einen dauerhaften LaunchAgent. Dies kontaktiert einen Remote-Host für weitere Anweisung.

Vieles noch unklar bei Silver Sparrow

Seltsamerweise hat die Silver Sparrow auf den bisher von den Forschern beobachteten Rechnern zwar den LaunchAgent ausgeführt, aber keine weiteren Malware Pakete erhalten. Die Malware scheint in einer Art Wartestellung zu liegen. Laut den Forschern bei Red Canary sei ihnen das ultimative Ziel dieser Malware ein Rätsel. Sie können nicht mit Sicherheit sagen, was von der Malware verteilt werden wird oder vielleicht schon was übermittelt worden und wieder entfernt wurde ist. Der Plan der Hacker hinter Silver Sparrow ist zu diesem Zeitpunkt völlig unklar. Gleichzeitig warnen die Forscher, dass diese Malware nicht unterschätzt werden darf. Mit Sicherheit läuft sie nicht ins Leere oder wurde aufgegeben.

Auch wie die Malware verbreitet wird, ist unklar. Bei Red Canary hat man herausgefunden, dass sie wohl den Amazon AWS-Dienst und das Content Distribution Network von Akamai dafür nutzt. Interessanterweise ist ein Mechanismus in die Malware eingebaut, mit dem sie sich selbst vollständig entfernen kann. Aber Anzeichen dafür, dass die Selbstzerstörungsfunktion angewendet wurde, gibt es bisher auch nicht. Die Forscher rätseln daher, weshalb es diesen Mechanismus eigentlich gibt.

Abwehr von Silver Sparrow Mac-Malware

Unter dem Versprechen, nicht genannt zu werden, gab ein Apple-Sprecher ein paar Zusatzinfos zu dem Fall Silver Sparrow. Demnach hätte man bei Apple bereits die Entwicklerzertifikate widerrufen. Auch habe man keine Hinweise darauf gefunden, dass irgendwelche Malware an die infizierten Geräte ausgeliefert worden sei. Apple würde seinen Kunden eine Vielzahl von Hardware- und Software-Schutzmöglichkeiten und Software-Updates anbietet. Diese sollten stets genutzt werden und nur aus dem Mac App Store heruntergeladen werden.

Red Canary gibt in seinem Bericht auch eine Anweisung, wie MacOS-Nutzer überprüfen könnten, ob ihr Mac infiziert sei. Am Ende ihres Berichts lautet diese wie folgt:

„So suchen Sie nach der Silver Sparrow-Malware:
Wer Malwarebytes für Mac verwenden – das Programm wurde aktualisiert, und kann prüfen, ob die Silver Sparrow-Malware installiert ist.

Alle, die Malwarebytes nicht verwenden oder das Vorhandensein der Malware manuell überprüfen möchten, können die folgende Checkliste verwenden:

Suchen Sie nach einem Prozess, der anscheinend von PlistBuddy in Verbindung mit einer Befehlszeile ausgeführt wird, die Folgendes enthält: LaunchAgents und RunAtLoad und true. Diese Analyse hilft uns, mehrere MacOS-Malware-Familien zu finden, die die Persistenz von LaunchAgent herstellen.

Suchen Sie nach einem Prozess, der anscheinend sqlite3 in Verbindung mit einer Befehlszeile ausführt, die Folgendes enthält: LSQuarantine. Diese Analyse hilft uns, mehrere MacOS-Malware-Familien zu finden, die Metadaten bearbeiten oder nach heruntergeladenen Dateien durchsuchen.
Suchen Sie nach einem Prozess, der anscheinend in Verbindung mit einer Befehlszeile ausgeführt wird, die Folgendes enthält: s3.amazonaws.com. Diese Analyse hilft uns, mehrere MacOS-Malware-Familien zu finden, die S3-Buckets für die Verteilung verwenden.

Um die vorgenannten Schritte auszuführen, können Sie diese Befehle vom Terminal aus verwenden:

ps -aex | grep -i buddy
ps -aex | grep -i curl | grep -i amazon
ps -aex | grep -i sqlite3 | grep -i LSQuarantine

Sollten in der Ausgabe Prozesse aufgeführt sein, die nicht in den oben genannten vorkommen, sollten Sie Ihr Gerät sofort auf Malware scannen und auf weitere Infektionen untersuchen.“

Artikel von threatpost.com, 19.02.2021: Mysterious Silver Sparrow Malware Found Nesting on 30K Macs
Artikel von zdnet.com, 22.02.2021: 30,000 Macs infected with new Silver Sparrow malware
Artikel von theregister.com, 22.02.2021: Malware monsters target Apple’s M1 silicon with ‘Silver Sparrow’
Artikel von bleepingcomputer.com, 22.02.2021: New Silver Sparrow malware infects 30,000 Macs for unknown purpose

Beitragsbild: Public Domain, Creative Commons CC0 von Przemyslaw Reinfus auf unsplash.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen