Nieuwe malware met name op M1 Macs gericht

Door: Night - 0 reacties
Afbeelding: OMT

Er is wederom malware ontdekt, die specifiek gericht is op Apple Silicon Macs. Onderzoekers hebben echter ontdekt dat het momenteel nog geen kwaad kan, aangezien de malware geen gevaarlijke payload bevat. Een ‘Proof of Concept’?

Het lijkt erop dat er mogelijk meer malware specfiek gericht is op Apple’s M1-gebaseerde Macs dan eerder werd gedacht. Na meldingen van de allereerste M1-malware die ‘in het wild’ werd aangetroffen, lijkt het er nu op dat er meer malware-infecties zijn. Deze malware heeft echter een bijzonder onschuldige karakter.

Begin februari ontdekten onderzoekers van Red Canary een nieuw soort macOS-malware die LaunchAgent gebruikte om zichzelf te installeren. Op zich niet bijzonder, want deze methode wordt door vele andere vormen van malware gebruikt. Wat interessant was voor de onderzoekers, was dat deze malware zich anders gedroeg dan de ‘standaard’ adware, vanwege de manier waarop JavaScript werd gebruikt voor uitvoering.

Puur voor M1 Macs

Het malwarecluster, door de onderzoekers Silver Sparrow genoemd, omvatte namelijk een binair bestand dat specifiek was bedoeld om met M1-chips te werken en dus mogelijk gericht zou zijn op Apple Silicon Macs.

Verder onderzoek door onderzoekers van VMware Carbon Black en Malwarebytes wees uit dat het waarschijnlijk was dat Silver Sparrow een “voorheen niet-gedetecteerde malware-soort” was. Op 17 februari werd deze malware echter ontdekt en vastgesteld in 29.139 macOS-endpoints in 153 landen. Het merendeel van de infecties deden zich voor in de VS, het VK, Canada, Frankrijk en Duitsland, maar ook Nederland.

Op het moment van publicatie is de malware niet gebruikt om ​​kwaadaardige acties uit te voeren op de Mac van de slachtoffers, hoewel dat in de toekomst kan veranderen. Vanwege de compatibiliteit met M1, het ‘relatief hoge infectiepercentage’ en de ‘operationele volwassenheid’ van de malware, werd het beschouwd als een ernstige bedreiging. De malware ‘heeft de unieke positie om in een oogwenk een potentieel gevaarlijke lading af te leveren’. Daardoor gekozen voor het publiek maken van dit specifieke type malware.

Twee versies

Er werden twee versies van de malware ontdekt, waarbij de payload van de ene versie bestond uit een binair bestand dat alleen op Intel-gebaseerde Macs van invloed was, terwijl de andere een binair bestand bevatte dat werd gecompileerd voor zowel de Intel- als de M1-architectuur. De payload is schijnbaar een tijdelijke aanduiding, aangezien de eerste versie een venster opent met de overbekende tekst “Hallo wereld!” en de tweede versie de tekst “You did it!” toont.

Hello World
Hello World afbeelding: AppleInsider

Als het kwaadaardige malware was, zou de payload er mogelijk voor kunnen zorgen ​​dat dezelfde of vergelijkbare instructies voor zowel het Intel- als het M1-platform gevaar oplevert, vanuit een enkel uitvoerbaar bestand.

Hoe werkt ‘Silver Sparrow’?

Het mechanisme voor de malware maakt gebruik van bestanden met de naam “update.pkg” en “updater.pkg”, in de vorm van installatieprogramma’s. Beide versie maken gebruik van de macOS Installer JavaScript-API om hun malafide opdrachten uit te voeren.

Deze methode wordt veelal gezien bij legitieme software, dat meestal pre-installatie- of post-installatiescripts gebruikt voor het uitvoeren van opdrachten, en niet bij malware.

Als de installatie eenmaal is gelukt, probeert de malware op een bepaalde URL een bestand te downloaden, dat verdere instructies of een uiteindelijke payload kan bevatten. Nadat onderzoekers de malware een week lang onder de loep hielden, bleek dat er vooralsnog geen waarneembare payload beschikbaar was. Iets, dat in de toekomst echter wel degelijk nog kan veranderen.

Veel onduidelijkheid

Er zijn voor de onderzoekers meerdere vragen onbeantwoord gebleven over deze malware. Zo vroegen ze zich af waar de oorspronkelijke PKG-bestanden, die werden gebruikt voor het infecteren van de Macs, vandaan kwamen. Ook zetten ze vraagtekens bij het feit dat Silver Sparrow elementen van malwarecode bevatte, die onderdeel lijken te zijn van een bredere toolset.

“Het uiteindelijke doel van deze malware is een mysterie”, geeft Red Canary toe. “We kunnen nog niet met zekerheid zeggen welke payload door de malware wordt verdeeld, of er al een payload is afgeleverd en verwijderd, en of dat de maker een toekomstige tijdlijn heeft voor distributie.”

Er is ook de kwestie van het opnemen van de uitvoerbare bestanden van “Hello World“, aangezien dit binaire bestand niet automatisch uitgevoerd wordt tenzij een slachtoffer er actief naar zocht en het zelf heeft uitgevoerd. De uitvoerbare bestanden suggereren dat dit een zogenaamde ‘Proof of Concept’ malware kan zijn, of dat een applicatiebundel nodig was om de malware legitiem te laten lijken voor andere partijen.

AppleInsider

Reacties

0 reacties