Un nouveau malware macOS connu sous le nom de Silver Sparrow a silencieusement infecté près de 30000 appareils Mac avec des logiciels malveillants dont le but est un mystère.

Dans une collaboration entre Red Canary, Malwarebytes et VMware Carbon Black, les chercheurs ont découvert un nouveau malware Mac qui présente des propriétés inhabituelles, y compris un composant explicitement compilé pour la nouvelle puce Apple M1.

Selon Malwarebytes, ce malware a infecté 29.139 appareils Mac dans 153 pays, avec des volumes élevés aux États-Unis, au Royaume-Uni, au Canada, en France et en Allemagne.

Pas votre adware typique

Alors qu’Apple s’est toujours vanté de la sécurité de macOS, la réalité est que le système d’exploitation est de plus en plus ciblé par les logiciels malveillants, les ransomwares et les logiciels publicitaires.

Dans un nouveau rapport de RedCanary, les chercheurs révèlent un nouveau malware ciblant les appareils Mac qui diffère de la plupart des infections développées pour le système d’exploitation.

Nommé Silver Sparrow, le malware a été vu distribué sous forme de deux fichiers différents nommés ‘updater.pkg’ [VirusTotal] ou ‘update.pkg’ [VirusTotal]. La seule différence observée par Red Canary est que update.pkg comprend à la fois un binaire Intel x86_64 et un binaire Apple M1, tandis que updater.pkg inclut uniquement l’exécutable Intel.

Exécutable Silver Sparrow
Exécutable Silver Sparrow

Contrairement à la plupart des logiciels publicitaires macOS qui utilisent des scripts de «pré-installation» et de «post-installation» pour exécuter des commandes ou installer d’autres logiciels malveillants, Silver Sparrow utilise JavaScript pour exécuter ses commandes. L’utilisation de JavaScript produit des données de télémétrie différentes qui rendent plus difficile la détection des activités malveillantes basées sur des arguments de ligne de commande.

En utilisant JavaScript, SilverSparrow créera des scripts shell exécutés par le malware pour communiquer avec les serveurs de commande et de contrôle et créera des fichiers XML LaunchAgent Plist pour exécuter périodiquement des scripts shell.

Création des scripts shell malveillants et LaunchAgent
Création des scripts shell malveillants et LaunchAgent

Le LaunchAgent se connectera au serveur de commande et de contrôle de l’acteur menaçant toutes les heures …

Voir la source de cette publication