Malware misterioso de Macintosh – Schneier on Safety


Malware misterioso de Macintosh

Este es extraño:

Una vez por hora, las Mac infectadas comprueban un servidor de handle para ver si hay nuevos comandos que el malware debería ejecutar o binarios que ejecutar. Sin embargo, hasta ahora, los investigadores aún no han observado la entrega de ninguna carga útil en ninguna de las 30.000 máquinas infectadas, por lo que se desconoce el objetivo final del malware. La falta de una carga útil last sugiere que el malware puede entrar en acción una vez que se cumpla una condición desconocida.

También es curioso que el malware viene con un mecanismo para eliminarse por completo, una capacidad que normalmente se reserva para operaciones de alto sigilo. Sin embargo, hasta ahora no hay indicios de que se haya utilizado la función de autodestrucción, lo que plantea la cuestión de por qué existe el mecanismo.

Además de esas preguntas, el malware se destaca por una versión que se ejecuta de forma nativa en el chip M1 que Apple presentó en noviembre, por lo que es solo la segunda pieza conocida de malware de macOS en hacerlo. El binario malicioso es aún más misterioso porque utiliza la API de JavaScript del instalador de macOS para ejecutar comandos. Eso hace que sea difícil analizar el contenido del paquete de instalación o la forma en que ese paquete usa los comandos de JavaScript.

El malware se ha encontrado en 153 países con detecciones concentradas en los EE. UU., Reino Unido, Canadá, Francia y Alemania. Su uso de Amazon World wide web Expert services y la pink de entrega de contenido de Akamai garantiza que la infraestructura de comando funcione de manera confiable y también dificulta el bloqueo de los servidores. Los investigadores de Crimson Canary, la empresa de seguridad que descubrió el malware, lo llaman Silver Sparrow.

Se siente diseñado por el gobierno, en lugar de un delincuente o un pirata informático.

Otro artículo. Y el canario rojo análisis.

Publicado el 2 de marzo de 2021 a las 6:05 AM •
comentarios



Enlace a la noticia authentic