macOS

Apple actúa para evitar la propagación del malware Silver Sparrow Mac

macOS Catalina - Seguridad y privacidad

Apple dice que ha tomado medidas para evitar una mayor propagación del malware para Mac conocido como Silver Sparrow. El malware se destacó por el hecho de que se ejecuta de forma nativa en el chip M1.

Apple dice que ha revocado los certificados de seguridad de las cuentas de desarrollador utilizadas para firmar los paquetes, lo que evitará que se instale en otros Mac…

Cómo actúa el malware Silver Sparrow

Así actúa malware Silver Sparrow

Así actúa malware Silver Sparrow (Foto: Red Canary)

Este malware ha desconcertado a los investigadores de seguridad por un puñado de razones. Silver Sparrow obliga a los Mac infectados a revisar un servidor de control una vez por hora, e incluye un mecanismo de autodestrucción, pero los investigadores aún no han observado realmente su intención maliciosa.

El malware Silver Sparrow fue descubierta por la firma de seguridad Red Canary gracias a las contribuciones de Erika Noerenberg y Thomas Reed de Malwarebytes y Jimmy Astle de VMware Carbon Black, rápidamente se dieron cuenta de que estaban tratando con lo que parecía ser una cepa de malware no detectada anteriormente.

Un dato interesante sobre Silver Sparrow es que se ejecuta de forma nativa en el chip M1 de Apple. Esto no significa que los Mac M1 estén dirigidos específicamente, pero el malware puede afectar igualmente a los Mac M1 y a los Mac Intel.

Se dice que el paquete malicioso aprovecha la API JavaScript de macOS Installer para ejecutar comandos sospechosos. Sin embargo, después de observar el malware durante más de una semana, ni Red Canary ni sus socios de investigación observaron una carga útil final, por lo que la amenaza exacta que representa el malware sigue siendo un misterio según informa Macrumors.

Según datos proporcionados por Malwarebytes, «Silver Sparrow» había infectado 29.139 sistemas macOS en 153 países al 17 de febrero, incluidos «altos volúmenes de detección en los Estados Unidos, el Reino Unido, Canadá, Francia y Alemania». Red Canary no especificó cuántos de estos sistemas eran Mac M1, si los hubiera.

Apple contraataca el malware

Según se informa, Apple le ha dicho a MacRumors que está tomando varias medidas para evitar una mayor propagación del malware Silver Sparrow. La compañía ha revocado los certificados de las cuentas de desarrollador utilizadas para firmar los paquetes, lo que evita que los atacantes infecten a cualquier usuario adicional de Mac.

Apple también reiteró que Silver Sparrow aún no ha entregado una carga útil maliciosa y que todo el software descargado fuera de Mac App Store ofrece protección «líder en la industria» para los usuarios. Por ejemplo, Apple requiere que todo el software esté firmado, ya sea descargado desde el App Store o en otro lugar.

Cómo detectar si tenemos el malware Silver Sparrow

Hay dos versiones de SILver Sparrow. Una versión solo puede infectar Macs Intel. El otro se enfrenta a computadoras de la serie Intel y M. A continuación se muestran detalles para buscar en cada tipo de ordenador según Red Canary.

  • Busque un proceso que parezca ser PlistBuddy ejecutándose junto con una línea de comandos que contenga lo siguiente: LaunchAgents y RunAtLoad y true. Este análisis nos ayuda a encontrar múltiples familias de malware para macOS que establecen la persistencia de LaunchAgent.
  • Busque un proceso que parezca ser sqlite3 ejecutándose junto con una línea de comandos que contiene: LSQuarantine. Este análisis nos ayuda a encontrar varias familias de malware de macOS manipulando o buscando metadatos para archivos descargados.
  • Busque un proceso que parezca estar ejecutándose en conjunción con una línea de comandos que contenga: s3.amazonaws.com. Este análisis nos ayuda a encontrar varias familias de malware de macOS usando cubos S3 para su distribución.

En la versión del malware que puede afectar a los Macs que ejecutan la serie M o Intel entra a través de:

update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149

La carga útil es

tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af

Esta versión de Silver Sparrow también crea:

specialattributes.s3.amazonaws[.]com

~/Library/Application Support/verx_updater/verx.sh

/tmp/verx

~/Library/Launchagents/verx.plist

~/Library/Launchagents/init_verx.plist

Una vez más, una búsqueda con el administrador de archivos de macOS puede activarlos en un dispositivo infectado.

El ID de desarrollador de la carga útil es Julie Willey (MSZ3ZH74RK). Apple revocó esta cuenta de desarrollador para ayudar a evitar una mayor propagación del Silver Sparrow.

Cómo encontrar la versión original de Silver Sparrow para Macs Intel
La primera versión de SIlver Sparrow solo puede infectar Macs basados en Intel. Viene a través de:

updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa

La carga útil es:

Nombre del archivo: updater
MD5: c668003c9c5b1689ba47a431512b03cc

Esta versión de Silver Sparrow también crea:

mobiletraits.s3.amazonaws[.]com

~/Biblioteca/Soporte de aplicaciones/agent_updater/agent.sh

/tmp/agent

~/Biblioteca/Lanzadores/agent.plist

~/Library/Launchagents/init_agent.plist

La firma binaria de la carga útil proviene del ID de desarrollador Saotia Seay (5834W6MYX3). Esto también ha sido revocado por Apple

Esperamos que Apple lance cuanto antes una actualización de seguridad para macOS para eliminar el malware Silver Sparrow o una herramienta para eliminarla del sistema lo antes posible como ya ha hecho en otras ocasiones.

Categoría
macOS

Dí mi primer muerdo a una manzana con 10 años CEO de mecambioaMac

Deja una respuesta

*

*