Вредонос без вреда(SecAtor)
18 февраля исследователи компании
Red Canary сообщили о странном вредоносе для
macOS, обнаруженном более чем на 29 тыс. устройствах в 153 странах мира. Они назвали его
Silver Sparrow.
Было найдено две версии вредоноса, одна из которых работает и на новом чипе
M1, представленном
Apple только в ноябре прошлого года. Таким образом,
Silver Sparrow - это второй выявленный вредонос после обнаруженного также в середине февраля
Pirrit.
Первая особенность
Silver Sparrow была в использовании
macOS Installer JS API, что отличает его от других вредоносов для
macOS.
Вторая странность заключалась в отсутствии полезной нагрузки - раз в час вредонос отстукивался на управляющий центр, но ничего оттуда не получал.
Третья отличительная черта - наличие механизма полного удаления с атакованной машины следов своего присутствия в случае нахождения некоего пустого файла.
И, наконец, четвертая загадочная черта - наличие в обеих версиях
Silver Sparrow сторонних двоичных файлов, в одном из которых содержалась фраза "Hello, World!", а в другом - "You did it!". Оба файла могут быть запущены только жертвой вручную.
Источник и каналы распространения
Silver Sparrow остались неизвестными.
А сегодня свой голос
подали словаки из
ESET, которые сообщили, что обнаружили
Silver Sparrow еще в сентябре прошлого года. С момент обнаружения исследователи также не заметили каких-либо следов полезной нагрузки, но обнаружили файл конфигурации, который хранится в корзине AWS S3.
Короче говоря, понятнее не стало. С одной стороны - продвинутый вредонос, модифицируемый под
M1 и имеющий массовый охват, с другой - отсутствие вредоносной активности в течение полугода.
Загадочный инфосек - все как мы любим.
