Silver Sparrow è il nuovo malware "dormiente" su macOS: installato su 30 mila sistemi [AGGIORNATO]

 Silver Sparrow è il nuovo malware "dormiente" su macOS: installato su 30 mila sistemi [AGGIORNATO]

E' stato scoperto nei giorni scorsi, ma il suo funzionamento non è chiaro: per ora nessun payload dannoso, ma la diffusione preoccupa

di pubblicata il , alle 08:41 nel canale Apple
macOSApple
 

La società di sicurezza Red Canary ha individuato un nuovo malware per i sistemi Mac con SoC Apple M1 le cui dinamiche di funzionamento sono ancora avvolte dal mistero. E' il secondo malware nativo per SoC M1 che viene scoperto nel giro di pochi giorni: del primo vi abbiamo raccontato nella notizia Scoperto il primo malware nativo per i Mac M1: si nasconde in un'estensione di Safari.

I ricercatori di Red Canary hanno collaborato con il team di Malwarebytes per individuare la portata del problema, scoprendo che dallo scorso mercoledì Silver Sparrow - questo il nome del nuovo malware- si è diffuso su oltre 29 mila sistemi. "La cosa più notevole è che è stato trovato su quasi 30 mila endpoint macOS, e questi sono solamente quelli che possono essere visti da Malwarebytes, quindi il numero è probabilmente molto più alto. Ancora una volta è dimostrazione che il malware per macOS sta diventando sempre più diffuso e comune, nonostante gli sforzi di Apple" ha commentato il noto ricercatore di sicurezza macOS Patrick Wardle.

Attualmente però gli specialisti di sicurezza si interrogano su quale sia il suo obiettivo. Silver Sparrow, infatti, controlla una volta all'ora un server di controllo per verificare l'eventuale presenza di comandi o file esegubili, ma fino ad ora non è stata rilevata ancora la consegna di alcun payload su nessuna delle macchine infette.

C'è poi un secondo aspetto interessante: il malware include uno strumento di autorimozione profonda, una funzionalità che di norma viene sfruttata nelle operazioni di alto livello quando è necessario non lasciare tracce di compromissione. Ma, anche in questo caso, la funzione non è ancora stata utilizzata. Tutti questi elementi lasciano immaginare che Silver Sparrow attenda una particolare condizione, sconosciuta ed evidentemente non ancora verificatasi, per entrare in funzione.

Silver Sparrow è stato individuato in 153 paesi, con una concentrazione particolare in USA, Regno Unito, Canada, Francia e Germania. Il malware sfrutta sia Amazon Web Services sia la rete di distribuzione di contenuti Akamai, così da potersi assicurare un'infrastruttura di comando solida e più difficile da neutralizzare.

Silver Sparrow è già presente su 30 mila sistemi, ma per ora non fa nulla

"Sebbene Silver Sparrow non abbia ancora distribuito payload dannosi, la sua compatibilità con i chip M1, la portata globale, un tasso di infezione relativamente alto e la sua maturità operativa sono elementi che suggeriscono che si tratti di una minaccia ragionevolmente seria e posizionata in modo univoco per un potenziale impatto molto velocemente. Alla luce di questi motivi di preoccupazione, in uno spirito di trasparenza, vogliamo condividere tutto ciò che sappiamo il prima possibile" scrivono i ricercatori di Red Canary.

Sono due le versioni esistenti del nuovo malware. Una, come già detto, per M1 e una per sistemi Intel x86_64. Nessuna delle due versioni, ad ora, ha compiuto alcuna azione. Apple ha revocato il certificato dello sviluppatore per entrambe le versioni. Silver Sparrow, una volta installato cerca l'indirizzo da cui è stato scaricato il pacchetto di installazione, probabilmente come misura statistica per gli autori così da sapere quale sia il canale di distribuzione più efficace. E a tal proposito non è chiaro quale sia l'origine del malware e i suoi sistemi di distribuzione anche se il controllo dell'URL lascia supporre che la modalità più comune possa essere quella di siti web compromessi o fantocci da cui scaricare risorse che apparentemente paiono legittime.

Chi volesse verificare l'eventuale presenza di Silver Sparrow sui propri sistemi può riferirsi agli indicatori di compromissione che sono stati evidenziati da Red Canary, e che vi riportiamo qua sopra per comodità.

Aggiornamento - Martedì 23 febbraio 2021 ore 15:25

Dopo la scoperta del malware Apple ha fatto sapere di aver revocato, come già indicato sopra, i certificati degli account sviluppatore che sono stati usati per firmare i pacchetti impedendo in questo modo l'infezione di nuovi dispositivi. Apple sottolinea che, come la ricerca specifica, non vi siano prove che indichino che Silver Sparrow abbia recapitato un payload dannoso agli utenti infetti. La società raccomanda di utilizzare Mac App Store quale sistema più sicuro per scaricare software per Mac, ricordando in ogni caso che per il software scaricato al di fuori del Mac App Store vengono messi in campo meccanismi di verifica, come ad esempio il servizio di notarizzazione, per proteggere gli utenti rilevando malware e bloccandolo in maniera che non venga eseguito.

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
ggez22 Febbraio 2021, 11:16 #1
È impossibile, OS X è immune ai virus!
Come iPhone era immune a Cellebrite lol
tallines22 Febbraio 2021, 11:18 #2
Mai dire mai............
gd350turbo22 Febbraio 2021, 11:18 #3
Originariamente inviato da: ggez
È impossibile, OS X è immune ai virus!
Come iPhone era immune a Cellebrite lol


E gli applefan, muti...
phmk22 Febbraio 2021, 11:21 #4
Inattaccabile Mac
AlexSwitch22 Febbraio 2021, 11:31 #6
Quando un si sa che scrivere in un lunedì mattina di fine Febbraio...
dontbeevil22 Febbraio 2021, 11:32 #7
Originariamente inviato da: ggez
È impossibile, OS X è immune ai virus!
Come iPhone era immune a Cellebrite lol


Originariamente inviato da: gd350turbo
E gli applefan, muti...


Originariamente inviato da: phmk
Inattaccabile Mac


<3
Sandro kensan22 Febbraio 2021, 13:31 #8
Io mi interesso a queste questioni sempre da un punto di vista della sicurezza in Generale. I sistemi sicuri non ci sono ma non ci sono proprio quando si parla di sistemi largamente diffusi come windows Mac OS, iOS, Android. Poi io mi interesso di cose pratiche e non teoriche come metterci soldi dentro Mac OS, iOS, windows, Android. Questo non s'ha da fare perché non sono sistemi sicuri e nemmeno lontanamente sicuri. Occorre almeno avere due dispositivi indipendenti sia dal punto di vista software che hardware per potere mettere dei soldi dentro a tali colabrodo.

Chi mi dice che Apple è sicura dico che non concordo. È sicura se non ci metti il conto corrente dentro altrimenti è un honeypot.
Gringo [ITF]22 Febbraio 2021, 13:56 #9
Pure HWUpgrade si da alle Fake News....
Si tratta di una Features, dedicata alla condivisione dei tuoi beni online, nulla di più, il Malware Non Esiste su MAC.
TorettoMilano22 Febbraio 2021, 14:18 #10
Originariamente inviato da: Sandro kensan
Io mi interesso a queste questioni sempre da un punto di vista della sicurezza in Generale. I sistemi sicuri non ci sono ma non ci sono proprio quando si parla di sistemi largamente diffusi come windows Mac OS, iOS, Android. Poi io mi interesso di cose pratiche e non teoriche come metterci soldi dentro Mac OS, iOS, windows, Android. Questo non s'ha da fare perché non sono sistemi sicuri e nemmeno lontanamente sicuri. Occorre almeno avere due dispositivi indipendenti sia dal punto di vista software che hardware per potere mettere dei soldi dentro a tali colabrodo.

Chi mi dice che Apple è sicura dico che non concordo. È sicura se non ci metti il conto corrente dentro altrimenti è un honeypot.


personalmente ho la app della banca su ios associata a token fisico. non sarà la soluzione più sicura al mondo ma sono tranquillo

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^