Malwarebytes: 29.000 Macs op onbekende wijze besmet met malware
Ruim 29.000 Macs zijn besmet geraakt met een nieuw malware-exemplaar, maar de wijze waarop dit precies gebeurde is onbekend. Ook blijkt de malware nog helemaal niets op geïnfecteerde systemen te doen. Het daadwerkelijke doel is daardoor onduidelijk.
Antimalwarebedrijf Malwarebytes detecteerde in totaal 29.139 besmette Mac-systemen in 153 landen. Het werkelijke aantal ligt mogelijk hoger, aangezien dit alleen de besmettingen zijn die door Malwarebytes werden waargenomen. De meeste infecties telde het bedrijf in de Verenigde Staten, het Verenigd Koninkrijk, Canada, Frankrijk en Duitsland. Securitybedrijf Red Canary maakte een analyse van de malware, die het Silver Sparrow noemt.
De malware zat verborgen in twee bestanden genaamd updater.pkg en update.pkg. Dat zou erop kunnen duiden dat de malware als malafide update is aangeboden. In het verleden werd veel Mac-malware via zogenaamde Adobe Flash Player-updates verspreid. Of dat ook in dit geval de infectievector was is onbekend. Ook verdere details over getroffen gebruikers ontbreken.
Tevens blijkt dat de malware niets op besmette systemen uitvoert. Eenmaal actief wacht Silver Sparrow op instructies van de aanvallers, maar die zijn niet door onderzoekers waargenomen. Daarnaast kunnen de aanvallers een commando versturen waardoor de malware zichzelf van het systeem verwijdert. Silver Sparrow blijkt ook op Macs met de nieuwe M1-processor te werken. Onlangs maakte onderzoeker Patrick Wardle ook al melding van malware die het nieuwe platform ondersteunt. Apple heeft de ontwikkelaarscertificaten van beide Silver Sparrow-bestanden inmiddels ingetrokken.
"Ook blijkt de malware -nog- helemaal niets op geïnfecteerde systemen te doen. Het -daadwerkelijke- doel is daardoor
onduidelijk."
Proof of concept? Pre-loader voor ellende na datum X?
Dat het nu niets doet wil niet zeggen dat het inactief is...
Dan zou het macOS bashing moeten zijn, mijn Mac is heel gelukkig met zijn niet macOS. ;-)
Dus ik weet niet wat ik van dit verhaal moet denken.
Grote vraag is hoe het er op is gekomen? Is het misschien meegekomen met gesloten 3party software (antivirus bv) ? komt het van Apple zelf of is het in aanraking gekomen met een bekend malwaresysteem?
Wachten op orders is niet "niets doen". Alleen is het nog niet schadelijk. Maar wanneer ongewenste/ongevraagde software op een systeem kan komen, is dat altijd een puntje van zorg. Onderzoek de software, zoek de besmettingsroute en dicht dan alles af. Het is fijn, dat Apple het ontwikkelaarscertificaat intrekt. Alleen is het belangrijk om te weten, of het certificaat is aangevraagd door de makers van de troep, of dat ze het gejat hebben...
In het eerste geval weten ze waarschijnlijk wie het gedaan heeft, in het tweede geval moet er bij de eigenlijke eigenaar gekeken worden, hoe ze er aan zijn gekomen. Werk genoeg dus om gaten te dichten.
Dus ik weet niet wat ik van dit verhaal moet denken.
Dan zou het macOS bashing moeten zijn, mijn Mac is heel gelukkig met zijn niet macOS. ;-)
het grappige is nu net dat dit stukje troep daadwerkelijk bash gebruikt op de mac om te deployen en zichzelf persistent te maken... dus ja letterlijk en figuurlijk mac os bashen :).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security-engineer IAM
Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
