Con l’introduzione dei nuovi Mac con processore M1, Apple ha dato il via ad una nuova generazione di processori. Come sappiamo, ciò che ha generato curiosità da parte della comunità informatica mondiale a tal punto da incuriosire anche la parte malevola della comunità.
Dalle profondità di internet è nato un nuovo malware che apparentemente riesce ad insidiarsi nella nuova architettura. Stiamo parlando di Silver Sparrow, il nuovo malware che intimorisce anche i Mac con architettura Apple Silicon.
Solitamente la maggior minaccia per un Mac viene rappresentata da Adware, mini software malevoli che dirottano la navigazione web dell’utente indirizzandolo automaticamente verso url malevoli, indipendentemente da cosa cerca l’utente. Fortunatamente si intrufolano in parti superficiali del sistema ed è possibile debellarli tramite dei software specifici come MalwareBytes.
A differenza dei classici Adware, Silver Sparrow risulta molto più raffinato in quanto si intrufola e agisce silente in MacOS. Non è ancora chiaro l’obiettivo del malware in quanto nonostante sia stato identificato su 30.000 macchine presenti in tutto il globo, non abbia ancora provocato danni.
Silver Sparrow è strutturato in 2 logiche architetturali diverse ma simili, colpisce sia i Mac su base
Intel che su base M1. La versione per Intel è composta da un pacchetto .pkg.
Come indicato sul blog di Malwarebytes, l’applicazione malevola viene distribuita attraverso un file d’installazione chiamato update.pkg o updater.pkg che, una volta avviato, chiede la conferma dell’utente per effettuare una verifica allo scopo di determinare se il software può essere installato.
Ovviamente, questa è l’ultima occasione per cancellare l’operazione ed evitare di essere infettati. Il malware, in seguito, eseguirà del codice Javascript per l’inserimento di un launcher che andrà ad eseguire il codice presente nello script verx.sh ogni ora, il quale contatterà un server presente su Amazon AWS ricevendo alcuni dati e cercherà il file ~/Library/.insu.
Quest’ultimo, a quanto pare, è privo di contenuto e serve solo al malware come riferimento per terminare l’esecuzione. Tra i dati che il malware riceve dal server AWS è presente il campo “downloadUrl” che, nel momento in cui stiamo scrivendo, non presenta alcun argomento, ma sappiamo che, potenzialmente, potrebbe scaricare ulteriore codice malevolo sulle macchine infettate, causando danni al momento sconosciuti.
Se ciò non bastassse, Apple ha revocato i certificati degli account degli sviluppatori Usati per
firmare i pacchetti al fine di impedire di infettare altri Mac.
Ciò che attualmente conosciamo di Silver Sparrow:
Per il momento il malware sembra essere in fase dormiente, nell’attesa che venga rilasciata la sua versione completa. Se siete comunque dubbiosi, nel frattempo potete controllare se il vostro Mac è stato infettato facendo una scansione con la versione aggiornata di MalwareBytes che include la patch per individuare tracce del software malevolo.
A cura di Giulio Montanaro.