Новое вредоносное ПО, обнаруженное на 30 000 компьютеров Mac, поставило в тупик специалистов по безопасности

21.02.2021 0 Редакция Steelgrey

Ранее не известное вредоносное ПО, обнаруженно почти на 30 000 компьютеров Mac по всему миру, вызывает интригу в кругах безопасности, и исследователи все еще пытаются понять, что именно оно делает и для каких целей служит его способность самоуничтожения.

| Newssky.com.ua

Крупным планом – ноутбук Apple MacBook Pro 15,4 дюйма с дисплеем Retina. Это портативный компьютер, произведенный Apple Inc.

Раз в час зараженные Mac проверяют сервер управления, чтобы узнать, есть ли какие-либо новые команды, которые вредоносная программа должна запускать, или исполняемые файлы. Однако до сих пор исследователи не наблюдали доставки какой-либо полезной нагрузки ни на одну из зараженных 30 000 машин, поэтому конечная цель вредоносного ПО остается неизвестной, сообщает newssky.com.ua со ссылкой на arstechnica

Отсутствие окончательной полезной нагрузки предполагает, что вредоносная программа может начать действовать при выполнении неизвестного условия.

Также любопытно, что вредоносная программа имеет механизм полного удаления, который обычно зарезервирован для операций с высокой степенью скрытности. Однако пока нет никаких признаков того, что функция самоуничтожения использовалась, что поднимает вопрос, почему этот механизм существует.

Помимо этих вопросов, вредоносная программа примечательна версией, которая изначально работает на чипе M1, который Apple представила в ноябре, что делает его только второй известной вредоносной программой для macOS, которая делает это. Вредоносный двоичный файл еще более загадочен, поскольку для выполнения команд он использует JavaScript API установщика macOS. Это затрудняет анализ содержимого установочного пакета или того, как пакет использует команды JavaScript.

Вредоносное ПО было обнаружено в 153 странах, и сконцентрировано в США, Великобритании, Канаде, Франции и Германии. Использование Amazon Web Services и сети доставки контента Akamai обеспечивает надежную работу командной инфраструктуры, а также усложняет блокировку серверов. Исследователи из Red Canary, охранной фирмы, обнаружившей вредоносное ПО, называют его Silver Sparrow.

Достаточно серьезная угроза

«Хотя мы еще не наблюдали, как Silver Sparrow поставляет дополнительные вредоносные нагрузки, его перспективная совместимость с чипом M1, глобальный охват, относительно высокий уровень заражения и операционная зрелость предполагают, что Silver Sparrow представляет собой достаточно серьезную угрозу, имеющую уникальные возможности для создания потенциально эффективных “полезных” нагрузок в любой момент», – написали исследователи Red Canary в своем блоге, опубликованном в пятницу. «Принимая во внимание эти причины для беспокойства, в духе прозрачности мы хотели поделиться всем, что мы знаем, с более широкой индустрией информационной безопасности раньше, чем слишком поздно».


Поделиться статьей:

Подписаться на новости:




В тему: