米国のセキュリティコンサルタント会社 Red Canary は、Apple がインテル以降の Mac を動かすために開発した最新の M1 シリコン専用に書かれた macOS マルウェアを発見したと発表した。
Red Canaryはこのマルウェアを「Silver Sparrow」と名付け、2月17日時点で約3万台のmacOSデバイスに侵入したと述べている。
Red Canaryの投稿によると、同社はこのマルウェアの2つのサンプルを分析したとのことです。1つはx86を標的とし、もう1つはx86とApple独自のM1チップを標的としています。フォームには、どちらのサンプルも「macOSインストーラーのJavaScript APIを利用して疑わしいコマンドを実行する」と記載されています。これは正規のソフトウェアインストーラーパッケージでは珍しい動作ではありませんが、Red Canaryはこれまでマルウェアでこのような挙動を確認したことはないと述べています。
スクリプトが実行されると、Mac には 2 つの新しい悪質なファイルが作成され、そのうちの 1 つはマルウェアの作成者に電話をかけ、マルウェアがインストールされたことを報告します。
LibreOffice 7.1 CommunityがM1 Arm Macと「ユーザーインターフェースバリアント」のサポートとともにリリースされました
続きを読む
もう 1 つのスクリプトは、永続的な LaunchAgent によって駆動され、1 時間ごとに実行されてサーバーに接続し、マルウェアを制御している人物にさらに情報を要求します。
Red Canary によれば、1 時間ごとのリクエストは「 JSON ファイルをディスクにダウンロードし、それを に変換し、そのプロパティを使用してさらなるアクションを決定するlaunchdシェル スクリプトを実行するように指示します」。plist
同社の研究者らはマルウェアを1週間実行したが、ダウンロード要求が実行される様子は見られなかったため、現時点ではマルウェアにはペイロードが欠けていると推測している。
このマルウェアがどのように拡散されるのかは依然として謎に包まれていますが、Red Canaryの研究者たちは、AWSとAkamaiのコンテンツ配信ネットワークのリソースを利用していることを突き止めました。両社は、Silver Sparrowの作者たちは、パブリッククラウドとCDNを利用することでマルウェア対策が困難になることをある程度理解しているようだと示唆しています。なぜなら、組織は大規模なパブリッククラウドからのトラフィックを受け入れる十分な理由を持っていることが多いからです。®
