Sliver Sparrow : un 2e malware pour Mac M1 découvert par Red Canary

Un deuxième malware qui a été conçu pour s'exécuter nativement sur les Mac M1 a été découvert par la société de sécurité Red Canary.

Dénommé «Silver Sparrow», le package malveillant exploiterait l'API JavaScript du programme d'installation de macOS pour exécuter des commandes suspectes. C’est le deuxième virus optimisé pour la nouvelle architecture Apple Silicon des Mac M1 après GoSearch22.

 

Cependant, après avoir observé le malware pendant plus d'une semaine, ni Red Canary ni ses partenaires de recherche n'ont observé de comportement inapproprié, de sorte que la menace exacte que représente le malware reste un mystère.

 

Un nouveau malware plus complexe sur les Mac M1

Malgré le côté inoffensif observé, Red Canary a déclaré que le malware pouvait être "une menace raisonnablement grave" :

Bien que nous n'ayons pas encore observé Silver Sparrow délivrer des charges utiles malveillantes supplémentaires, sa compatibilité avec la puce M1 tournée vers l'avenir, sa portée mondiale, son taux d'infection relativement élevé et sa maturité opérationnelle suggèrent que Silver Sparrow est une menace raisonnablement sérieuse, positionnée de manière unique pour fournir une charge utile potentiellement impactante. 

Selon les données fournies par Malwarebytes, «Silver Sparrow» avait infecté 29 139 systèmes macOS dans 153 pays au 17 février, y compris des volumes élevés de détection aux États-Unis, au Royaume-Uni, au Canada, en France et en Allemagne.  

Red Canary n'a pas précisé combien de ces systèmes étaient des Mac M1.

Étant donné que les binaires «Silver Sparrow» ne semblent pas faire grand-chose pour le moment, Red Canary les a appelés «binaires spectateurs». Lorsqu'il est exécuté sur des Mac équipés d'Intel, le package malveillant affiche simplement une fenêtre vide avec un "Hello, World!", tandis que le binaire Apple Silicon mène à une fenêtre rouge qui dit "Vous l'avez fait!".

Des techniques pour trouver un malware sur Mac

Si cela vous intéresse, Red Canary a partagé des méthodes pour détecter un large éventail de menaces sur macOS, mais les étapes ne sont pas spécifiques à «Silver Sparrow» :

• Recherchez un processus qui semble être PlistBuddy en cours d'exécution en conjonction avec une ligne de commande contenant les éléments suivants : LaunchAgents et RunAtLoad et true. Cette analyse aide à trouver plusieurs familles de logiciels malveillants macOS établissant la persistance de LaunchAgent.
• Recherchez un processus qui semble s'exécuter sqlite3 en conjonction avec une ligne de commande contenant : LSQuarantine. Cette analyse aide à trouver plusieurs familles de logiciels malveillants macOS manipulant ou recherchant des métadonnées pour les fichiers téléchargés.
• Recherchez un processus qui semble s'exécuter en conjonction avec une ligne de commande contenant : s3.amazonaws.com. Cette analyse aide à trouver plusieurs familles de logiciels malveillants macOS à l'aide de compartiments S3 pour la distribution.

Sinon, encore plus simple avec l'antivirus Intego, le seul développé exclusivement pour MacOS et qui détecte déjà ce genre de menaces.

Màj : Un porte-parole d'Apple a déclaré qu'elle avait révoqué le certificat du compte développeur de ce logiciel, ce qui empêche qu'il soit lancé sur les machines où il est installé.