Malwarebytes: 29.000 Macs op onbekende wijze besmet met malware
Ruim 29.000 Macs zijn besmet geraakt met een nieuw malware-exemplaar, maar de wijze waarop dit precies gebeurde is onbekend. Ook blijkt de malware nog helemaal niets op geïnfecteerde systemen te doen. Het daadwerkelijke doel is daardoor onduidelijk.
Antimalwarebedrijf Malwarebytes detecteerde in totaal 29.139 besmette Mac-systemen in 153 landen. Het werkelijke aantal ligt mogelijk hoger, aangezien dit alleen de besmettingen zijn die door Malwarebytes werden waargenomen. De meeste infecties telde het bedrijf in de Verenigde Staten, het Verenigd Koninkrijk, Canada, Frankrijk en Duitsland. Securitybedrijf Red Canary maakte een analyse van de malware, die het Silver Sparrow noemt.
De malware zat verborgen in twee bestanden genaamd updater.pkg en update.pkg. Dat zou erop kunnen duiden dat de malware als malafide update is aangeboden. In het verleden werd veel Mac-malware via zogenaamde Adobe Flash Player-updates verspreid. Of dat ook in dit geval de infectievector was is onbekend. Ook verdere details over getroffen gebruikers ontbreken.
Tevens blijkt dat de malware niets op besmette systemen uitvoert. Eenmaal actief wacht Silver Sparrow op instructies van de aanvallers, maar die zijn niet door onderzoekers waargenomen. Daarnaast kunnen de aanvallers een commando versturen waardoor de malware zichzelf van het systeem verwijdert. Silver Sparrow blijkt ook op Macs met de nieuwe M1-processor te werken. Onlangs maakte onderzoeker Patrick Wardle ook al melding van malware die het nieuwe platform ondersteunt. Apple heeft de ontwikkelaarscertificaten van beide Silver Sparrow-bestanden inmiddels ingetrokken.
"Ook blijkt de malware -nog- helemaal niets op geïnfecteerde systemen te doen. Het -daadwerkelijke- doel is daardoor
onduidelijk."
Proof of concept? Pre-loader voor ellende na datum X?
Dat het nu niets doet wil niet zeggen dat het inactief is...
Dan zou het macOS bashing moeten zijn, mijn Mac is heel gelukkig met zijn niet macOS. ;-)
Dus ik weet niet wat ik van dit verhaal moet denken.
Grote vraag is hoe het er op is gekomen? Is het misschien meegekomen met gesloten 3party software (antivirus bv) ? komt het van Apple zelf of is het in aanraking gekomen met een bekend malwaresysteem?
Wachten op orders is niet "niets doen". Alleen is het nog niet schadelijk. Maar wanneer ongewenste/ongevraagde software op een systeem kan komen, is dat altijd een puntje van zorg. Onderzoek de software, zoek de besmettingsroute en dicht dan alles af. Het is fijn, dat Apple het ontwikkelaarscertificaat intrekt. Alleen is het belangrijk om te weten, of het certificaat is aangevraagd door de makers van de troep, of dat ze het gejat hebben...
In het eerste geval weten ze waarschijnlijk wie het gedaan heeft, in het tweede geval moet er bij de eigenlijke eigenaar gekeken worden, hoe ze er aan zijn gekomen. Werk genoeg dus om gaten te dichten.
Dus ik weet niet wat ik van dit verhaal moet denken.
Dan zou het macOS bashing moeten zijn, mijn Mac is heel gelukkig met zijn niet macOS. ;-)
het grappige is nu net dat dit stukje troep daadwerkelijk bash gebruikt op de mac om te deployen en zichzelf persistent te maken... dus ja letterlijk en figuurlijk mac os bashen :).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior specialist OSINT
Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!
