Silver Sparrow è il nuovo malware "dormiente" su macOS: installato su 30 mila sistemi [AGGIORNATO]

La società di sicurezza Red Canary ha individuato un nuovo malware per i sistemi Mac con SoC Apple M1 le cui dinamiche di funzionamento sono ancora avvolte dal mistero. E' il secondo malware nativo per SoC M1 che viene scoperto nel giro di pochi giorni: del primo vi abbiamo raccontato nella notizia Scoperto il primo malware nativo per i Mac M1: si nasconde in un'estensione di Safari.

I ricercatori di Red Canary hanno collaborato con il team di Malwarebytes per individuare la portata del problema, scoprendo che dallo scorso mercoledì Silver Sparrow - questo il nome del nuovo malware- si è diffuso su oltre 29 mila sistemi. "La cosa più notevole è che è stato trovato su quasi 30 mila endpoint macOS, e questi sono solamente quelli che possono essere visti da Malwarebytes, quindi il numero è probabilmente molto più alto. Ancora una volta è dimostrazione che il malware per macOS sta diventando sempre più diffuso e comune, nonostante gli sforzi di Apple" ha commentato il noto ricercatore di sicurezza macOS Patrick Wardle.

Attualmente però gli specialisti di sicurezza si interrogano su quale sia il suo obiettivo. Silver Sparrow, infatti, controlla una volta all'ora un server di controllo per verificare l'eventuale presenza di comandi o file esegubili, ma fino ad ora non è stata rilevata ancora la consegna di alcun payload su nessuna delle macchine infette.

C'è poi un secondo aspetto interessante: il malware include uno strumento di autorimozione profonda, una funzionalità che di norma viene sfruttata nelle operazioni di alto livello quando è necessario non lasciare tracce di compromissione. Ma, anche in questo caso, la funzione non è ancora stata utilizzata. Tutti questi elementi lasciano immaginare che Silver Sparrow attenda una particolare condizione, sconosciuta ed evidentemente non ancora verificatasi, per entrare in funzione.

Silver Sparrow è stato individuato in 153 paesi, con una concentrazione particolare in USA, Regno Unito, Canada, Francia e Germania. Il malware sfrutta sia Amazon Web Services sia la rete di distribuzione di contenuti Akamai, così da potersi assicurare un'infrastruttura di comando solida e più difficile da neutralizzare.

Silver Sparrow è già presente su 30 mila sistemi, ma per ora non fa nulla

"Sebbene Silver Sparrow non abbia ancora distribuito payload dannosi, la sua compatibilità con i chip M1, la portata globale, un tasso di infezione relativamente alto e la sua maturità operativa sono elementi che suggeriscono che si tratti di una minaccia ragionevolmente seria e posizionata in modo univoco per un potenziale impatto molto velocemente. Alla luce di questi motivi di preoccupazione, in uno spirito di trasparenza, vogliamo condividere tutto ciò che sappiamo il prima possibile" scrivono i ricercatori di Red Canary.

Sono due le versioni esistenti del nuovo malware. Una, come già detto, per M1 e una per sistemi Intel x86_64. Nessuna delle due versioni, ad ora, ha compiuto alcuna azione. Apple ha revocato il certificato dello sviluppatore per entrambe le versioni. Silver Sparrow, una volta installato cerca l'indirizzo da cui è stato scaricato il pacchetto di installazione, probabilmente come misura statistica per gli autori così da sapere quale sia il canale di distribuzione più efficace. E a tal proposito non è chiaro quale sia l'origine del malware e i suoi sistemi di distribuzione anche se il controllo dell'URL lascia supporre che la modalità più comune possa essere quella di siti web compromessi o fantocci da cui scaricare risorse che apparentemente paiono legittime.

Chi volesse verificare l'eventuale presenza di Silver Sparrow sui propri sistemi può riferirsi agli indicatori di compromissione che sono stati evidenziati da Red Canary, e che vi riportiamo qua sopra per comodità.

Aggiornamento - Martedì 23 febbraio 2021 ore 15:25

Dopo la scoperta del malware Apple ha fatto sapere di aver revocato, come già indicato sopra, i certificati degli account sviluppatore che sono stati usati per firmare i pacchetti impedendo in questo modo l'infezione di nuovi dispositivi. Apple sottolinea che, come la ricerca specifica, non vi siano prove che indichino che Silver Sparrow abbia recapitato un payload dannoso agli utenti infetti. La società raccomanda di utilizzare Mac App Store quale sistema più sicuro per scaricare software per Mac, ricordando in ogni caso che per il software scaricato al di fuori del Mac App Store vengono messi in campo meccanismi di verifica, come ad esempio il servizio di notarizzazione, per proteggere gli utenti rilevando malware e bloccandolo in maniera che non venga eseguito.