Malware Silver Sparrow nace en 30.000 Mac | Software malicioso


Por John P. Mello Jr.

23 de febrero de 2021 4:00 AM PT

Casi 30.000 Mac en 153 países se han infectado con una nueva cepa de malware que los investigadores de seguridad denominan Silver Sparrow.

Descubierto por investigadores en Canario rojo, el malware ha estado en sus hosts esperando una carga útil que nunca llegó.

“Aunque todavía no hemos observado que Silver Sparrow entregue cargas útiles maliciosas adicionales, su compatibilidad con el chip M1 con visión de futuro, su alcance global, su tasa de infección relativamente alta y su madurez operativa sugieren que Silver Sparrow es una amenaza razonablemente grave, en una posición única para ofrecer un potencial impactante carga útil en cualquier momento “, escribió el jueves el analista de inteligencia de Red Canary, Tony Lambert, en un blog de la empresa.

Aunque los investigadores de Malwarebytes han identificado 29,139 terminales macOS infectados por Silver Sparrow, muchas más máquinas podrían ser afectadas por el software malicioso, sostuvo Tony Anscombe, evangelista jefe de seguridad en Eset.

“Según lo que se vio por primera vez, el malware puede estar más extendido de lo que se indica en la divulgación”, dijo a TechNewsWorld. “El número 30K proviene de un único proveedor de seguridad en lugar de todo el entorno macOS”.

Sin embargo, el director de Malwarebytes para Mac y dispositivos móviles, Thomas Reed, sostuvo que la mala aplicación podría estar saliendo a la luz ya que está a punto de oscurecerse.

“Esta puede ser una infección que ya ha seguido su curso”, dijo a TechNewsWorld.

“Hay un archivo que hace que el malware se borre automáticamente”, explicó. “Ese archivo está constituyendo la mayoría de nuestras detecciones en este momento. El creador parece estar enviando el comando de autodestrucción ahora”.

Bloqueado por Apple

En un comunicado proporcionado a TechNewsWorld, Apple dijo que al descubrir el malware, revocó los certificados de las cuentas de desarrollador utilizadas para firmar los paquetes, evitando que se infectaran nuevas máquinas.

Apple también señaló que no hay evidencia que sugiera que el malware identificado por los investigadores haya entregado una carga útil maliciosa a los usuarios infectados.

Agregó que la compañía cuenta con una serie de medidas para brindar una experiencia segura a sus usuarios, incluidos mecanismos técnicos, como el servicio de notario de Apple, para proteger a los usuarios al detectar malware y bloquearlo para que no pueda ejecutarse.

Sin embargo, ese servicio ha sido menos que perfecto en el pasado, sostuvo Joshua A. Long, analista jefe de seguridad en Intego, fabricante de software de seguridad y privacidad para Mac, en Austin, Texas.

“Es más significativo que, según nuestra propia investigación en Intego, esta es al menos la sexta vez importante en que el proceso de notarización de Apple no ha podido detectar familias de malware que se han distribuido de forma salvaje o se han subido a VirusTotal“, dijo a TechNewsWorld.

“Se supone específicamente que la notarización identifica y bloquea el nuevo malware antes de que pueda infectar Mac”, continuó, “pero el proceso automatizado de notarización de Apple ha certificado repetidamente docenas de muestras de malware que Apple no ha podido detectar como maliciosas”.

Búsquedas envenenadas

Cómo las máquinas infectadas entraron en contacto con el malware es un misterio en este momento. “Los investigadores de malware aún no han identificado de manera concluyente el método de entrega exacto”, dijo Long.

“Una teoría es que los usuarios finales pueden haber encontrado el malware a través de resultados de búsqueda de Google envenenados: resultados de búsqueda que conducen a sitios legítimos que han sido comprometidos por un actor de amenazas o sitios maliciosos que tienen una alta clasificación para búsquedas particulares”, agregó.

Otra posibilidad son las extensiones de navegador maliciosas, señaló la directora de inteligencia de Red Canary, Katie Nickels, durante una sesión de transmisión en vivo en Twitter el lunes.

Long agregó que existen dos versiones del malware, también conocido como Slisp. Uno está compilado para Intel Macs. El otro es un binario universal que se ejecuta en máquinas M1 basadas en Intel y ARM.

“Vale la pena señalar, sin embargo, que las Mac M1 a menudo pueden ejecutar malware Mac compilado solo para Intel, debido a la tecnología Rosetta de Apple que permite que los binarios de Intel se ejecuten en Mac M1”, agregó.

“Podemos esperar que prácticamente todo el malware de Mac de ahora en adelante esté diseñado para ejecutarse en ambas arquitecturas”, predijo.

Carrera de ARM de malware

Lambert estuvo de acuerdo en que la arquitectura M1 de Apple será un futuro objetivo de los malos actores.

“La inclusión de un binario compilado para su uso en sistemas que ejecutan el nuevo procesador ARM M1 de Apple es importante, porque sugiere que los desarrolladores de Silver Sparrow están pensando en el futuro en lugar de simplemente escribir su malware para que sea compatible con los conjuntos de chips que actualmente tienen la mayor participación del mercado “, dijo a TechNewsWorld.

Christopher Budd, gerente senior de comunicaciones de amenazas globales en Avast, de Praga en la República Checa, un fabricante de software de seguridad, incluidos programas antivirus para Mac, explicó que los autores de malware son esencialmente gente de negocios. Se adaptan en función de las tendencias del mercado.

“Hacer que este malware sea funcional en los nuevos sistemas M1 muestra que estos autores creen que hay o habrá suficiente mercado para esa plataforma para que valga la pena dedicarle recursos”, dijo a TechNewsWorld.

“El hecho de que los autores de malware y adware de macOS estén compilando binarios para M1 era obvio, esperado y no justifica el reciente sensacionalismo”, agregó el ingeniero de detección de Eset Michal Malik.

Instalación novedosa

Apuntar a la arquitectura ARM de Apple no es la única forma en que Silver Sparrow se distingue de la mayoría de los programas maliciosos de Mac que se encuentran en la naturaleza.

“La mayor parte del malware que observamos para los sistemas macOS finalmente entrega adware y cargas útiles relacionadas”, explicó Lambert.

“Tienden a usar preinstalación, postinstalación u otros scripts de shell dentro de los instaladores de PKG y DMG”, continuó. “Si bien hemos visto software legítimo que utiliza la API de JavaScript del instalador de macOS, no es algo que hayamos observado con el malware de macOS”.

Anscombe de Eset señaló que la persistencia y el método de instalación poco convencional son aspectos notables de Silver Sparrow, pero ya existen muestras de malware más peligrosas en la naturaleza.

“El peligro de este malware depende de las acciones del autor para entregar una carga útil y su intención”, dijo.

“También existe el riesgo de que otro mal actor intente aprovechar el mecanismo y tomar el control”, agregó.

Mito de la Mac invencible

¿Qué pueden hacer los consumidores para protegerse de Silver Sparrow? Lambert recomienda recurrir a la protección de terceros.

“Como regla general, normalmente recomendamos que los usuarios ejecuten productos antivirus o antimalware de terceros para complementar las protecciones antimalware existentes mantenidas por los fabricantes de sistemas operativos”, dijo.

“Si bien estamos hablando específicamente de macOS en este caso”, continuó. “Este consejo es igualmente aplicable a las máquinas Windows”.

Ese consejo puede ser dudoso para los propietarios de Mac a quienes se les ha dicho que sus máquinas son inmunes a las infecciones de software malicioso.

“No es tan difícil infectar una Mac”, observó Reed. “Lo único que se ha interpuesto en el camino en el pasado ha sido la participación de mercado”.

“¿Por qué querría invertir su tiempo en crear malware para un sistema que tiene una participación de mercado bastante baja en comparación con Windows?” preguntó. “Pero a medida que las Mac han aumentado su participación en el mercado, se han convertido en un objetivo cada vez más popular, especialmente porque muchas de las personas que tienen Macs son personas a las que le gustaría dirigirse, como directores ejecutivos y otros profesionales bien pagados”.


John P. Mello Jr. ha sido reportero de ECT News Network desde 2003. Sus áreas de enfoque incluyen ciberseguridad, problemas de TI, privacidad, comercio electrónico, redes sociales, inteligencia artificial, big data y electrónica de consumo. Ha escrito y editado numerosas publicaciones, incluida la Boston Business Journal, la
Boston Phoenix, Megapixel.Net y Noticias de seguridad del gobierno. Envíe un correo electrónico a John.

.



Source link