Silver Sparrow è un nuovo malware progettato per colpire anche i sistemi macOS dotati del nuovo processore Apple M1 basato su piattaforma ARM64 e che ha già infettato silenziosamente quasi 30.000 dispositivi in 153 paesi a partire dallo scorso 17 febbraio, soprattutto negli Stati Uniti, nel Regno Unito, in Canada, Francia e Germania.
Al momento, il malware sembra essere innocuo in quanto non esegue alcuna operazione dannosa a parte la visualizzazione a schermo di un messaggio “Hello world” o “You did it!”.
I ricercatori hanno inoltre individuato alcuni comandi che, se eseguiti, consentono al malware di autodistruggersi cancellando ogni traccia dell’infezione.
Indice degli argomenti
Cosa sappiamo finora del malware Silver Sparrow
Il nuovo malware Silver Sparrow è la conferma che il sistema operativo macOS di Apple è sempre più preso di mira da campagne malevoli basate su malware, ransomware e adware.
“In pochi giorni si sono susseguite due notizie relative alla disponibilità di malware compilati per infettare sistemi Apple di ultima generazione basati sul processore M1 sviluppato dal colosso statunitense”, dice alla nostra testata Pierluigi Paganini, Cyber Security Analyst.
“Il primo malware è stato segnalato dall’esperto internazionale Patrick Wardle e si tratta di una variante dell’adware Pirrit, del quale però non sono state fornite indicazioni sulla effettiva diffusione”.
“Entrambi i malware”, continua Paganini, “appartengono alla famiglia degli adware, ovvero fastidiosi codici malevoli che tartassano le vittime con pubblicità e possono condurre all’installazione di applicazioni indesiderate”.
Da quello che si evince dal rapporto pubblicato dai ricercatori di Red Canary, invece, Silver Sparrow si differenzia dalla maggior parte delle infezioni sviluppate finora per il sistema operativo macOS di Apple.
Intanto, Silver Sparrow è stato distribuito attraverso due differenti file chiamati updater.pkg e update.pkg. Il primo contiene solo l’eseguibile del malware per le piattaforme macOS con chip Intel, il file update.pkg include invece sia un binario Intel x86_64 sia uno appositamente sviluppato per il chip Apple M1.
Il malware è capace di autodistruggersi
Alla prima esecuzione, Silver Sparrow esegue uno script .js utilizzando l’API JavaScript di macOS Installer per creare il file LaunchAgent Plist XML utilizzato poi per eseguire dinamicamente altri due shell script del malware.
Il primo, agent.sh, viene eseguito immediatamente alla fine dell’installazione per informare un server di comando e controllo (C2) AWS dell’installazione avvenuta con successo; il secondo, verx.sh, viene invece eseguito una volta ogni ora per contattare il server C2 al fine di ricevere ulteriori contenuti da scaricare ed eseguire.
Durante la sua esecuzione, inoltre, Silver Sparrow verifica la presenza nel sistema target del file ~/Library/._insu: se lo trova, il malware avvia immediatamente una proceduta di kill switch che rimuoverà tutti i file ad esso associati.
I ricercatori non sono ancora riusciti a spiegare il perché di questo comportamento, anche perché l’estensione dei file ._insu era finora completamente sconosciuta e mai individuata prima in installazioni standard di macOS. Per questo motivo, al momento non è stato possibile determinare le condizioni che fanno scattare la procedura di autodistruzione del malware.
Quali gli scenari aperti dal nuovo malware
L’obiettivo finale di Silver Sparrow rimane, dunque, un mistero.
Intanto, durante le loro analisi, i ricercatori non hanno avuto evidenze che il malware abbia scaricato altri payload dannosi, né se questi sono stati già distribuiti in precedenti infezioni non ancora identificate e poi successivamente rimossi in seguito alla procedura di kill switch.
Non è da escludere, inoltre, che i criminal hacker abbiano già una linea temporale per la distribuzione di altri codici malevoli e l’avvio di una campagna di attacco su vasta scala appena il numero di infezioni di Silver Sparrow raggiunga numeri maggiori di quelli attuali.
I binari Intel e Mach-O di Silver Sparrow sembrano piuttosto essere dei segnaposto per un malware in via di sviluppo.
Un’ipotesi confermata alla nostra testata anche da Pierluigi Paganini: “va detto che gli stessi adware potrebbero essere utilizzati anche per avviare il processo di installazione di ulteriori codici malevoli, sebbene ad oggi non siano stati individuati ulteriori malware installati a seguito delle suddette infezioni”.
Alla nostra testata l’analista sottolinea come sia “lecito attendersi quindi che già dalle prossime settimane si possano isolare malware simili utilizzati per installare altre famiglie di codici malevoli, come spyware, trojan bancari e ransomware”.
Ancora secondo Paganini, “il ritrovamento di malware concepiti per colpire specifiche piattaforme di ultima generazione ci conferma l’efficacia dell’impresa criminale e di come, al pari di una impresa di successo, questa ottimizzi i propri codici malevoli per colpire sistemi di ultima generazione cercando di non essere individuati. Così come ha spiegato anche lo stesso Wardle, questi malware sviluppati ad hoc per il processore M1 di Apple sono più difficili da individuare rispetto a versioni compilate per altre piattaforme”.
Come controllare la presenza di Silver Sparrow sul proprio Mac
Anche la distribuzione di Silver Sparrow rimane al momento un mistero: l’unica certezza, come abbiamo visto, è che viene installato mediante due differenti file PKG a seconda della piattaforma da infettare.
I ricercatori, infatti, non sono riusciti ad individuare un possibile vettore di diffusione del malware ma sono convinti che, almeno al momento, non viene più distribuito in questa forma.
La buona notizia è che il tool Malwarebytes per Mac è stato aggiornato per rilevare se il malware Silver Sparrow è installato sul proprio sistema.
Come ulteriore misura difensiva, infine, da segnalare che Apple ha immediatamente revocato i certificati assegnati ai binari malevoli di Silver Sparrow che erano stati firmati con gli Apple Developer ID di Saotia Seay e Julie Willey, impedendo così di fatto ulteriori installazioni.