Malwarebytes: 29.000 Macs op onbekende wijze besmet met malware
Ruim 29.000 Macs zijn besmet geraakt met een nieuw malware-exemplaar, maar de wijze waarop dit precies gebeurde is onbekend. Ook blijkt de malware nog helemaal niets op geïnfecteerde systemen te doen. Het daadwerkelijke doel is daardoor onduidelijk.
Antimalwarebedrijf Malwarebytes detecteerde in totaal 29.139 besmette Mac-systemen in 153 landen. Het werkelijke aantal ligt mogelijk hoger, aangezien dit alleen de besmettingen zijn die door Malwarebytes werden waargenomen. De meeste infecties telde het bedrijf in de Verenigde Staten, het Verenigd Koninkrijk, Canada, Frankrijk en Duitsland. Securitybedrijf Red Canary maakte een analyse van de malware, die het Silver Sparrow noemt.
De malware zat verborgen in twee bestanden genaamd updater.pkg en update.pkg. Dat zou erop kunnen duiden dat de malware als malafide update is aangeboden. In het verleden werd veel Mac-malware via zogenaamde Adobe Flash Player-updates verspreid. Of dat ook in dit geval de infectievector was is onbekend. Ook verdere details over getroffen gebruikers ontbreken.
Tevens blijkt dat de malware niets op besmette systemen uitvoert. Eenmaal actief wacht Silver Sparrow op instructies van de aanvallers, maar die zijn niet door onderzoekers waargenomen. Daarnaast kunnen de aanvallers een commando versturen waardoor de malware zichzelf van het systeem verwijdert. Silver Sparrow blijkt ook op Macs met de nieuwe M1-processor te werken. Onlangs maakte onderzoeker Patrick Wardle ook al melding van malware die het nieuwe platform ondersteunt. Apple heeft de ontwikkelaarscertificaten van beide Silver Sparrow-bestanden inmiddels ingetrokken.
"Ook blijkt de malware -nog- helemaal niets op geïnfecteerde systemen te doen. Het -daadwerkelijke- doel is daardoor
onduidelijk."
Proof of concept? Pre-loader voor ellende na datum X?
Dat het nu niets doet wil niet zeggen dat het inactief is...
Dan zou het macOS bashing moeten zijn, mijn Mac is heel gelukkig met zijn niet macOS. ;-)
Dus ik weet niet wat ik van dit verhaal moet denken.
Grote vraag is hoe het er op is gekomen? Is het misschien meegekomen met gesloten 3party software (antivirus bv) ? komt het van Apple zelf of is het in aanraking gekomen met een bekend malwaresysteem?
Wachten op orders is niet "niets doen". Alleen is het nog niet schadelijk. Maar wanneer ongewenste/ongevraagde software op een systeem kan komen, is dat altijd een puntje van zorg. Onderzoek de software, zoek de besmettingsroute en dicht dan alles af. Het is fijn, dat Apple het ontwikkelaarscertificaat intrekt. Alleen is het belangrijk om te weten, of het certificaat is aangevraagd door de makers van de troep, of dat ze het gejat hebben...
In het eerste geval weten ze waarschijnlijk wie het gedaan heeft, in het tweede geval moet er bij de eigenlijke eigenaar gekeken worden, hoe ze er aan zijn gekomen. Werk genoeg dus om gaten te dichten.
Dus ik weet niet wat ik van dit verhaal moet denken.
Dan zou het macOS bashing moeten zijn, mijn Mac is heel gelukkig met zijn niet macOS. ;-)
het grappige is nu net dat dit stukje troep daadwerkelijk bash gebruikt op de mac om te deployen en zichzelf persistent te maken... dus ja letterlijk en figuurlijk mac os bashen :).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!