苹果 M1 Mac 新款原生运行恶意软件“银雀”曝光

外媒 MacRumors 报道，安全公司 Red Canary 发现了第二个已知的恶意软件 “Silver Sparrow”（银雀），它被编译成原生运行在 M1 Mac 上。

鉴于 “Silver Sparrow”这个名字，据说这个恶意包利用 macOS Installer JavaScript API 执行可疑的命令。不过，在观察该恶意软件一周多之后，Red Canary 及其研究伙伴都没有观察到最终的有效数据，因此该恶意软件所带来的具体威胁仍然是个谜。
尽管如此，Red Canary 表示，该恶意软件可能是 “一个相当严重的威胁”。
“虽然我们还没有观察到 Silver Sparrow 提供更多的恶意有效数据，但其前瞻性的 M1 芯片兼容性、全球覆盖范围、相对较高的感染率和操作成熟度表明，Silver Sparrow 是一个相当严重的威胁，其独特的定位可以在一瞬间提供潜在的有影响的有效威胁。”
目前获悉，根据 Malwarebytes 提供的数据，截至 2 月 17 日，Silver Sparrow 已经感染了 153 个国家和地区的 29139 个 macOS 系统，其中包括 “美国、英国、加拿大、法国和德国的大量检测”。Red Canary 没有说明其中有多少系统是运行在 M1 Mac 设备上。
鉴于 Silver Sparrow 二进制文件 “似乎还没有那么大的作用”，Red Canary 将其称为 “旁观者二进制文件 "”。当在基于英特尔的 Mac 上执行时，恶意包只是显示了一个带有 “Hello, World!”信息的空白窗口，而苹果 silicon 二进制文件则会导致一个红色窗口出现，上面写着 “You did it!”。

Red Canary 分享了检测一系列 macOS 威胁的方法，但这些步骤并不是专门针对检测 Silver Sparrow 的。

• 寻找一个似乎是 PlistBuddy 的进程，与包含以下内容的命令行一起执行：aunchAgents and RunAtLoad and true. 这个分析可以帮助我们找到多个 macOS 恶意软件家族建立 LaunchAgent 的持久性。

• 寻找一个似乎是 sqlite3 的进程，该进程与以下命令行一起执行。LSQuarantine. 这个分析可以帮助我们找到多个 macOS 恶意软件系列，操纵或搜索下载文件的元数据。

• 寻找一个似乎是 curl 执行进程，该进程的命令行包含：s3.amazonaws.com. 这个分析可以帮助我们找到多个使用 S3 buckets 进行分发的 macOS 恶意软件家族。

第一款能够在 M1 Mac 上原生运行的恶意软件在几天前才被发现。现在迹象表明，越来越多的恶意软件开始盯上苹果 M1 Mac 设备。