El nuevo malware encontrado en 30.000 Mac deja perplejos a los profesionales de la seguridad

Fotografía en primer plano del teclado y la barra de herramientas de Mac.

Una pieza de malware no detectada anteriormente que se encuentra en casi 30.000 Mac en todo el mundo está generando intriga en los círculos de seguridad, que todavía están tratando de comprender con precisión qué hace y para qué sirve su capacidad de autodestrucción.

Una vez por hora, las Mac infectadas comprueban un servidor de control para ver si hay nuevos comandos que el malware debería ejecutar o binarios que ejecutar. Sin embargo, hasta el momento, los investigadores aún no han observado la entrega de ninguna carga útil en ninguna de las 30.000 máquinas infectadas, lo que deja sin conocer el objetivo final del malware. La falta de una carga útil final sugiere que el malware puede entrar en acción una vez que se cumpla una condición desconocida.

También es curioso que el malware viene con un mecanismo para eliminarse por completo, una capacidad que generalmente se reserva para operaciones de alto sigilo. Sin embargo, hasta ahora no hay indicios de que se haya utilizado la función de autodestrucción, lo que plantea la cuestión de por qué existe el mecanismo.

Además de esas preguntas, el malware se destaca por una versión que se ejecuta de forma nativa en el chip M1 que Apple presentó en noviembre, por lo que es solo la segunda pieza conocida de malware de macOS que lo hace. El binario malicioso es aún más misterioso, porque utiliza la API de JavaScript del instalador de macOS para ejecutar comandos. Eso hace que sea difícil analizar el contenido del paquete de instalación o la forma en que ese paquete usa los comandos JavaScript.

El malware se ha encontrado en 153 países con detecciones concentradas en los EE. UU., Reino Unido, Canadá, Francia y Alemania. Su uso de Amazon Web Services y la red de entrega de contenido de Akamai garantiza que la infraestructura de comando funcione de manera confiable y también dificulta el bloqueo de los servidores. Los investigadores de Red Canary, la empresa de seguridad que descubrió el malware, lo llaman Silver Sparrow.

Amenaza razonablemente grave

“Aunque todavía no hemos observado que Silver Sparrow entregue cargas útiles maliciosas adicionales, su compatibilidad con el chip M1 con visión de futuro, su alcance global, su tasa de infección relativamente alta y su madurez operativa sugieren que Silver Sparrow es una amenaza razonablemente seria, en una posición única para ofrecer un impacto potencial carga útil en cualquier momento ”, escribieron los investigadores de Red Canary en un entrada en el blog publicado el viernes. “Teniendo en cuenta estos motivos de preocupación, con un espíritu de transparencia, queríamos compartir todo lo que sabemos con la industria de la seguridad de información en general más temprano que tarde”.

Silver Sparrow viene en dos versiones: una con un binario en objeto mach formato compilado para procesadores Intel x86_64 y el otro binario Mach-O para el M1. La siguiente imagen ofrece una descripción general de alto nivel de las dos versiones:

Canario rojo

Hasta ahora, los investigadores no han visto a ninguno de los binarios hacer mucho de nada, lo que llevó a los investigadores a referirse a ellos como “binarios espectadores”. Curiosamente, cuando se ejecuta, el binario x86_64 muestra las palabras “¡Hola mundo!” mientras que el binario M1 dice “¡Lo hiciste!” Los investigadores sospechan que los archivos son marcadores de posición para darle al instalador algo para distribuir contenido fuera de la ejecución de JavaScript. Apple ha revocado el certificado de desarrollador para ambos archivos binarios transeúntes.

Silver Sparrow es solo la segunda pieza de malware que contiene código que se ejecuta de forma nativa en el nuevo chip M1 de Apple. Una muestra de adware reportada a principios de esta semana fue la primera. El código nativo M1 se ejecuta con mayor velocidad y confiabilidad en la nueva plataforma que el código x86_64 porque el primero no tiene que traducirse antes de ejecutarse. Muchos desarrolladores de aplicaciones legítimas de macOS aún no han completado el proceso de recompilar su código para el M1. La versión M1 de Silver Sparrow sugiere que sus desarrolladores están por delante de la curva.

Una vez instalado, Silver Sparrow busca la URL desde la que se descargó el paquete de instalación, lo más probable es que los operadores de malware sepan qué canales de distribución tienen más éxito. En ese sentido, Silver Sparrow se parece al adware macOS visto anteriormente. No queda claro con precisión cómo o dónde se distribuye el malware o cómo se instala. Sin embargo, la verificación de URL sugiere que los resultados de búsqueda maliciosos pueden ser al menos un canal de distribución, en cuyo caso, los instaladores probablemente se harían pasar por aplicaciones legítimas.

Entre las cosas más impresionantes de Silver Sparrow está la cantidad de Macs que ha infectado. Los investigadores de Red Canary trabajaron con sus contrapartes en Malwarebytes, y este último grupo encontró Silver Sparrow instalado en 29.139 terminales macOS a partir del miércoles. Eso es un logro significativo.

“Para mí, el más notable [thing] es que se encontró en casi 30.000 puntos finales de macOS … y estos son solo puntos finales que MalwareBytes puede ver, por lo que es probable que el número sea mucho mayor ”, escribió Patrick Wardle, un experto en seguridad de macOS, en un mensaje de Internet. “Eso está bastante extendido … y una vez más muestra que el malware macOS se está volviendo cada vez más generalizado y común, a pesar de los mejores esfuerzos de Apple”.

Para aquellos que quieran comprobar si su Mac se ha infectado, Red Canary proporciona indicadores de compromiso al final de su informe.

Leave a Reply

Your email address will not be published. Required fields are marked *