Read, hack, repeat

Malware misterioso encontrado em 30 mil Macs confunde pesquisadores de segurança

Guilherme Petry

Pesquisadores de segurança da Red Canary, desenvolvedora norte-americana de segurança da informação, descobriram quase 30 mil Macs infectados com um novo malware misterioso, silencioso e até então inofensivo. O “Silver Sparrow”, como foi batizado, foi descoberto no começo de fevereiro deste ano.

O malware misterioso chamou atenção dos pesquisadores, primeiramente, por não oferecer nenhuma ameaça ao usuário, ou seja, sem nenhum “payload” malicioso. Além disso, ele roda nativamente nos novos modelos de Macs da Apple, equipados com processadores M1, fabricados pela Arm.

Outra característica misteriosa do Silver Sparrow é que ele foi desenvolvido com um "killer switch", um mecanismo de auto-remoção completa, recurso normalmente utilizado em campanhas mais elaboradas. Além disso, utiliza API JavaScript do MacOS Installer para executar comandos, o que dificulta a investigação.

Segundo os pesquisadores, que estão monitorando os 29.139 Macs infectados, ainda não foi notada nenhuma ação por parte dos cibercriminosos, nem mesmo uma troca de dados envolvendo o aplicativo malicioso. Os pesquisadores temem que esses vírus possa entrar em ação de forma massiva, a partir de uma condição desconhecida.

"Os engenheiros de detecção do Red Canary, encontraram uma cepa de malware para macOS [...] Esse malware, seja ele qual for, não exibiu os comportamentos que esperamos de um malware convencional [...] Principalmente pela maneira como ele usa JavaScript para execução - algo que não havíamos encontrado anteriormente em outros malwares para macOS - e o surgimento de um binário relacionado compilado para a nova arquitetura M1 ARM64 da Apple", escreve os pesquisadores da Red Canary.

"Além do mistério da carga útil, o Silver Sparrow inclui uma verificação de arquivo que causa a remoção de todos os mecanismos de persistência e scripts. Ele verifica a presença de ~ / Library /._ insu no disco e, se o arquivo estiver presente, o Silver Sparrow remove todos os seus componentes do terminal. A presença desse recurso também é um mistério", escrevem.

Comportamento curioso

Comportamento curioso é o que não falta no Silver Sparrow. Os pesquisadores identificaram que quando o malware é executado em Macs mais antigos, equipados com processadores Intel, ele exibe uma tela preta, com a clássica mensagem: “Hello, World!” e nada mais.

Mensagem exibida ao executar o Silver Sparrow em um Mac equipado com processador Intel. Foto: Erika Noerenberg via Red Canary.
Mensagem exibida ao executar o Silver Sparrow em um Mac equipado com processador Intel. Foto: Erika Noerenberg via Red Canary.

Já nos Macs mais novos, equipados com processadores M1, desenvolvidos internamente pela Apple e fabricados pela Arm, o malware exibe uma tela laranja, com o texto “You did it!” (você conseguiu, em português). O que gerou ainda mais dúvidas.

Mensagem exibida ao executar o Silver Sparrow em um Mac equipado com processador M1 Foto: Jimmy Astle via Red Canary.
Mensagem exibida ao executar o Silver Sparrow em um Mac equipado com processador M1 Foto: Jimmy Astle via Red Canary.

“A primeira versão do malware Silver Sparrow que analisamos continha um binário Mach-O estranho, compilado para Intel x86_row que parecia não desempenhar nenhuma função adicional na execução, simplesmente [uma mensagem]: ‘Hello, World!’ [...] A segunda versão também incluiu um binário Mach-O estranho que foi compilado para ser compatível com Intelx86_64 e M1 ARM64. Desta vez, exibindo a mensagem: ‘You dit it!’”, escrevem.

Como saber se foi infectado

Os pesquisadores lembram que o procedimento para detectar o Silver Sparrow em um Mac é muito parecido com o procedimento para detectar outros malwares para macOS. “Essas análises nos ajudam a encontrar várias famílias de malware para macOS”, explicam.

Para detectar o Silver Sparrow, procure por um processo chamado “PlistBuddy”, depois, procure um comando contendo “LaunchAgents; RunAtLoad; true” na mesma frase. Depois, procure um processo com nome semelhante a “sqlite3” rodando junto com um comando contendo “LSQuarantine”. Por fim, procure por um processo “que pareça estar executando o curl em conjunto com uma linha de comando que contém: s3.amazonaws.com”.


Fonte: Red Canary.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.