Silver Sparrow Mac Malware的谜团

网络安全公司红金丝雀上周发表了关于一个新的Mac恶意软件称为Silver Sparrow。此恶意软件是最先包含Apple新M1芯片的本机代码的恶意软件，但是关于此恶意软件的未知问题实际上比已知的更有趣！

安装

我们知道恶意软件已通过Apple Installer Packages（.pkg文件）命名update.pkg.要么updater.pkg.。但是，我们不知道这些文件是如何传递给用户的。

这些.pkg文件包括JavaScript代码，以这样的方式，即代码将在安装真的启动之前运行。然后将询问用户是否希望允许程序运行“以确定是否可以安装软件。”

这意味着，如果你要点击继续，但然后仔细考虑它并退出安装程序，这太晚了。你已经被感染了。

恶意软件生命周期

恶意JavaScript代码为当前用户安装一个启动代理Plist文件，该文件旨在启动名为的脚本verx.sh.每小时一次。此脚本有几个功能。

首先，它将联系以前托管在Amazon AWS上的命令和控制服务器。在分析时，它回来的数据看起来像这样：

{“版本”:2,“标签”:“verx”,“参数”:“upbuchupsf”、“dls”:4320年,“运行”:真的,“疯狂的”:“~ /图书馆/。_insu"， "downloadUrl": ""}

接下来，恶意软件将检查文件〜/ library /._ insu。从Malw必威平台APParebytes数据出发，这似乎这是一个零字节文件，并且恶意软件只是用它作为标记来指示它应该删除它。在这种情况下，脚本完全正确地退出。

最后，它将尝试确定是否存在更新的恶意软件版本（如果尚未安装最终有效负载，则始终是这种情况），如果是，它将从提供的URL下载有效载荷downloadurl.来自命令和控制服务器的数据中的参数。

但是，从数据中可以看出，在分析时，下载URL是空白的。虽然我们知道脚本将在/tmp/verx上存储有效负载，但我们还没有在任何受感染的机器上看到该有效负载的任何实例。

如果实际下载了有效载荷，它将被推出args.数据作为参数。

与JavaScript丢弃的文件分开，.pkg文件还将应用程序安装到Applications文件夹中。此应用程序名为“tasker”或“更新程序”，具体取决于.pkg文件的版本。这两个应用程序似乎都是非常简单的占位符应用，这些应用程序不做任何有趣。

银色麻雀在野外

必威平台APPMalwarebytes研究人员与红色金丝雀研究人员合作，并在此时收集了有关感染的重要数据。在这篇文章时，我们已经看到了39,080台独特的机器，其中Malwarebytes检测到的银麻雀部件。必威平台APP

这些检测主要集中在美国，有2.5万多台独特的机器有银雀检测。当然，这是受Malwarebytes的大量美国客户基础的影响，但必威平台APP恶意软件似乎相当普遍，在164个不同的国家检测到。

检测到的路径显示了相当有趣的模式。绝大多数“感染”实际上是由._insu文件的代表，并且存在的机器没有任何其他组件（按预期）。

结论

这时，我们还没有看到/ tmp / verx有效载荷。没有任何受感染的机器安装。这意味着，正如红色金丝雀所说的那样，我们几乎没有关于这种恶意软件的意图的信息。

是的，恶意必威平台APP软件保护你的Mac免受银麻雀的攻击。

这args.来自命令和控制服务器的数据中的值（upbuchupsf.）类似于广告软件使用的联盟代码类似。但是，我们不能基于单个十个字符串做出假设，因为这种假设可能很容易出错。毕竟，销售到的恶意软件和使用的多个人可能很好地包括某种“客户代码”。

事实上._insu.文件已在如此高的数字中看到有趣。由于此文件表示恶意软件应该自行（虽然我们不知道该文件是如何创建的），但这是一个强大的指标，这些可能是以前的受感染的机器。

因此，很可能这感染可能存在于最近的过去的某些时候，但操作员将默默地发送了一个静音的“杀”命令来导致恶意软件删除自己。这可以对应于上传到Virustotal的最新恶意安装程序的第一个外观，这将是创建者被发现的创造者的指示，或者可以被其他一些事件提示。

这些机器不太可能感染了很长一段时间，因为每年8月和2020年12月的两个命令和控制服务器域每是红色的金丝雀调查结果。

必威平台APPMalwarebytes将这些文件作为OSX.SilversParrow检测到。