Un malware misterioso infecta a 30.000 ordenadores Mac


Conocido como Silver Sparrow, la intención del malware aún se desconoce, ya que aún tiene que entregar una carga útil real, dice la firma de seguridad Purple Canary.

malware en un sistema informático

Imagen: kaptnali, Getty Visuals / iStockphoto

Un malware que ha infectado a casi 30.000 ordenadores Mac ha provocado dudas sobre su intención y su carga útil final.

VER: Política de formación y sensibilización sobre seguridad (TechRepublic Top quality)

Según los datos de Malwarebytes, el malware denominado Silver Sparrow por los investigadores de Red Canary, ha llegado hasta ahora a 29.139 máquinas macOS en 153 países, incluidos EE. UU., Reino Unido, Canadá, Francia y Alemania. Han surgido preguntas porque el malware aún no ha hecho nada malicioso, lo que significa que no se ha observado una entrega de carga útil ni conclusiones sobre su propósito.

Lo que se sabe es que Silver Sparrow es una cepa de malware diseñada para Mac impulsada por el nuevo chip Apple M1, que la compañía presentó a fines del año pasado como un alejamiento de la arquitectura Intel. Esto lo convierte en el único segunda pieza conocida de malware macOS para apuntar a los nuevos chips, según Ars Technica. Con la pieza de carga útil faltante y otras preguntas, el malware ha generado preocupación entre los investigadores de Purple Canary.

«Aunque todavía no hemos observado que Silver Sparrow entregue cargas útiles maliciosas adicionales, su compatibilidad con el chip M1 con visión de futuro, su alcance global, su tasa de infección relativamente alta y su madurez operativa sugieren que Silver Sparrow es una amenaza razonablemente seria, en una posición única para ofrecer un impacto carga útil en cualquier momento «, dijo Red Canary en un entrada de blog site publicada el jueves pasado.

Para su análisis, Red Canary dijo que sus investigadores descubrieron dos versiones del malware: una compilada solo para la arquitectura Intel x86_64 y una segunda compilada para la arquitectura Intel x86_64 y M1 ARM64. Hasta ahora, el código binario de Silver Sparrow no parece hacer mucho, lo que llevó a Red Canary a referirse a él como «binarios transeúntes».

El malware se distribuye en dos paquetes diferentes: Updater.pkg y update.pkg. Ambos utilizan las mismas técnicas de ejecución, con la única diferencia en la compilación del código binario. El binario de Updater.pkg parece ser un marcador de posición para otro contenido. Por ahora, la ejecución del script simplemente muestra el mensaje: «¡Hola, mundo!» De manera equivalent, al ejecutar el binario para update.pkg aparece el mensaje: «¡Lo hiciste!»

El malware infecta una máquina a través de un proceso específico, explicó Tony Lambert, analista de inteligencia de Pink Canary, a TechRepublic:

Mientras realiza tareas de rutina en World wide web, como ver los resultados del motor de búsqueda, se encuentra con una página que le indica que descargue una actualización. Una vez descargado, haga clic en las advertencias e instale el archivo PKG descargado. Durante la instalación, el malware crea un mecanismo de persistencia que garantiza que permanezca en la máquina. Después de eso, los scripts se ejecutan a intervalos regulares para verificar si hay carga adicional.

Un aspecto único de Silver Sparrow es que sus paquetes de instalación aprovechan la API de JavaScript del instalador de macOS para ejecutar comandos sospechosos, según los investigadores de Red Canary, la primera vez que han visto esta táctica utilizada por malware.

«La novedad de esta amenaza es doble», dijo Lambert. «En primer lugar, normalmente no vemos malware que utilice JavaScript dentro de un archivo PKG para realizar acciones como lo hace Silver Sparrow. En segundo lugar, una versión de Silver Sparrow contenía un ejecutable de marcador de posición compilado para admitir la arquitectura M1».

Silver Sparrow es una amenaza potencial porque permite descargar y ejecutar código arbitrario sin el conocimiento del usuario, agregó Lambert. Esto puede incluir código potencial de cualquier URL. Aunque Silver Sparrow parece benigno por ahora, las personas detrás de él podrían simplemente estar sentando las bases para un ataque malicioso.

«El objetivo ultimate de este malware es un misterio», dijo Purple Canary en su publicación de blog site. «No tenemos forma de saber con certeza qué carga útil distribuiría el malware, si ya se entregó y eliminó una carga útil, o si el adversario tiene un cronograma futuro para la distribución. Según los datos compartidos con nosotros por Malwarebytes, casi 30.000 hosts afectados no han descargado cuál sería la carga útil siguiente o last «.

Consciente de Silver Sparrow, Apple también ha tomado medidas para mitigarlo, dijo un portavoz de la compañía a TechRepublic. Después de descubrir el malware, Apple revocó los certificados de las cuentas de desarrollador que firmaron los paquetes, lo que evita que las nuevas computadoras se infecten. Además, la empresa emplea una protección como la Servicio de notario de Apple para detectar y evitar que se ejecute malware en una máquina.

Incluso con la protección de Apple, Crimson Canary aconseja a los usuarios ejecutar productos antivirus o antimalware de terceros para complementar las protecciones antimalware en el sistema operativo. En un nivel más técnico de seguridad o desarrollador, Red Canary también ofrece los siguientes consejos a las empresas:

  1. Busque un proceso que parezca PlistBuddy ejecutándose junto con una línea de comando que contiene lo siguiente: LaunchAgents y RunAtLoad y genuine. Esta analítica ayuda a encontrar varias familias de malware macOS que establecen la persistencia de LaunchAgent.
  2. Busque un proceso que parezca sqlite3 ejecutándose junto con una línea de comando que contiene LSQuarantine. Esta analítica ayuda a encontrar varias familias de malware macOS que manipulan o buscan metadatos para archivos descargados.
  3. Busque un proceso que parezca rizo ejecutándose junto con una línea de comando que contiene s3.amazonaws.com. Esta analítica ayuda a encontrar varias familias de malware de macOS que utilizan depósitos S3 para la distribución.

Nota del editor: este artículo se ha actualizado con comentarios adicionales.

Ver también



Enlace a la noticia initial