Silver Sparrow, un virus molto particolare, ha colpito trentamila Mac in 153 paesi. Il Malware al momento non ha provocato danni, ma sembra programmato per compiere una particolare operazione ad un determinato momento. Cosa farà e quando è una sorta di mistero.
Apple ha recentemente ritirato le firme del software, ma l’infezione potrebbe avere già colpito ed infettato un numero di macchine maggiore di quello stimato.
Come funziona Silver Sparrow
Il virus si connette una volta ogni ora ad un server di riferimento, quello che nel gergo degli addetti al lavori viene chiamato C2 dalle iniziali di Commad and Control. Al momento non pare scaricare nulla, ma si sospetta che prima o poi potrebbe effettuare il download di un payload, vale a dire del codice in grado di arrecare danno alla macchina infetta. L’esperienza ci insegna che spesso a essere scaricate sono una serie di istruzioni che, quando eseguite, provocano la cifratura di tutti i dati presenti sul disco e sulle unità di rete, ma non è detto che questo sia il caso. Quello che è certo è che una volta compiuta L’operazione o le operazioni, il virus si autodistruggerà.
La caratteristica principale di questo virus è che è compilato sia per i processori Intel sia per i processori Apple Silicon M1 e, in quest’ultimo caso, viene distribuito con un Universal Binary. La cosa particolarmente negativa è che la versione per M1 viene riconosciuta con maggiore difficoltà.
Silver Sparrow, infatti, è stato distribuito attraverso due differenti file chiamati updater.pkg e update.pkg. Mentre Il primo contiene solo l’eseguibile del malware per i Mac con chip Intel, il file update.pkg è l’Universal Binary che include sia il codice x86_64 sia il codice MACH-0 compilato per il chip Apple M1.
Il Malware, per eseguire I suoi comandi, utilizza istruzioni JavaScript, cosa rende più difficile rilevare la sua attività anche al motore euristico degli antivirus più evoluti che individuano più facilmente malware e adware basati su file contenenti le classiche istruzioni a riga di comando. Attraverso l’esecuzione di un primo javascript, che sfrutta le API dell’’installer di MacOS, viene creato il file LaunchAgent Plist XML. Questo viene poi utilizzato per creare a run time altri due script:
- agent.sh che viene eseguito subito dopo l’installazione per notiziate il server di commad and control (C2) dell’installazione avvenuta e comunicare l’indirizzo IP a cui raggiungere la macchina infetta.
- verx.sh che viene eseguito una volta ogni ora per contattare il server C2 al fine di ricevere ulteriori contenuti da scaricare ed eseguire.
Una volta scaricate ed eseguite le operazioni viene creato il file ~/Library/._insu. Alla prossima esecuzione, se questo file viene rilevato, il malware cancellerà ogni traccia della sua esistenza. I ricercatori di Red Canary, i primi a rilevare il virus, sono spiazzati da questo comportamento in quanto prima d’ora l’estensione ._insu non era mai apparsa.
L’ipotesi più probabile è che il codice malevolo, quello che verrà scaricato dal server C2, sia ancora in fase di sviluppo, il timore, quindi, è che, quando sarà rilasciato, potremmo accorgerci che il numero delle macchine infette sarà molto più alto.
Come controllare la presenza di Silver Sparrow sul proprio Mac
Non è ancora chiaro, purtroppo, come avviene la distribuzione di Silver Sparrow. I ricercatori non sono riusciti ad individuare un possibile vettore di distribuzione del malware e la revoca delle firme del software può effettivamente averne bloccato la diffusione.
Potete verificare se il vostro sistema è infettato se trovate questi files nei relativi percorsi:
• ~/Library/._insu
• /tmp/agent.sh
• /tmp/version.json
• /tmp/version.plist
.La versione aggiornata di Malwarebytes rileva la presenza di Silver Sparrow. Vi consigliamo di farla girare al più presto su tutti i vostri sistemi.
Diffondete questo post condividendolo sui social e tra i vostri contatti: può essere utile ad evitargli qualche brutto quarto d’ora.
SUPPORTA Apple Philosophy
Ti sarai reso conto di quanto siano particolari gli articoli pubblicati su ApplePhilosophy. Sono il frutto di un lavoro serio di approfondimento che richiede tempo, impegno e passione. Se stai per fare un acquisto su Amazon e desideri supportare Applephilosophy, clicca sul banner qui sotto. Per ogni acquisto il blog riceverà una piccolissima percentuale. Ovviamente NON spenderai un centesimo di più di quanto avresti speso per gli stessi acquisti andando direttamente su Amazon.
| Aperta USB-C | Chiusa | Aperta USB-A |
 |
 |
 |
Memory Pen SanDisk Ultra Dual USB Drive ad un prezzo mai visto! (Clicca qui per la nostra recensione)
Sandisk Ultra Dual USB Drive 32 GB 16,84€Sandisk Ultra Dual USB Drive 64 GB 25,01€Sandisk Ultra Dual USB Drive 128 GB 23,99€Sandisk Ultra Dual USB Drive 256GB 47,99€