Malwarebytes: 29.000 Macs op onbekende wijze besmet met malware
Ruim 29.000 Macs zijn besmet geraakt met een nieuw malware-exemplaar, maar de wijze waarop dit precies gebeurde is onbekend. Ook blijkt de malware nog helemaal niets op geïnfecteerde systemen te doen. Het daadwerkelijke doel is daardoor onduidelijk.
Antimalwarebedrijf Malwarebytes detecteerde in totaal 29.139 besmette Mac-systemen in 153 landen. Het werkelijke aantal ligt mogelijk hoger, aangezien dit alleen de besmettingen zijn die door Malwarebytes werden waargenomen. De meeste infecties telde het bedrijf in de Verenigde Staten, het Verenigd Koninkrijk, Canada, Frankrijk en Duitsland. Securitybedrijf Red Canary maakte een analyse van de malware, die het Silver Sparrow noemt.
De malware zat verborgen in twee bestanden genaamd updater.pkg en update.pkg. Dat zou erop kunnen duiden dat de malware als malafide update is aangeboden. In het verleden werd veel Mac-malware via zogenaamde Adobe Flash Player-updates verspreid. Of dat ook in dit geval de infectievector was is onbekend. Ook verdere details over getroffen gebruikers ontbreken.
Tevens blijkt dat de malware niets op besmette systemen uitvoert. Eenmaal actief wacht Silver Sparrow op instructies van de aanvallers, maar die zijn niet door onderzoekers waargenomen. Daarnaast kunnen de aanvallers een commando versturen waardoor de malware zichzelf van het systeem verwijdert. Silver Sparrow blijkt ook op Macs met de nieuwe M1-processor te werken. Onlangs maakte onderzoeker Patrick Wardle ook al melding van malware die het nieuwe platform ondersteunt. Apple heeft de ontwikkelaarscertificaten van beide Silver Sparrow-bestanden inmiddels ingetrokken.
"Ook blijkt de malware -nog- helemaal niets op geïnfecteerde systemen te doen. Het -daadwerkelijke- doel is daardoor
onduidelijk."
Proof of concept? Pre-loader voor ellende na datum X?
Dat het nu niets doet wil niet zeggen dat het inactief is...
Dan zou het macOS bashing moeten zijn, mijn Mac is heel gelukkig met zijn niet macOS. ;-)
Dus ik weet niet wat ik van dit verhaal moet denken.
Grote vraag is hoe het er op is gekomen? Is het misschien meegekomen met gesloten 3party software (antivirus bv) ? komt het van Apple zelf of is het in aanraking gekomen met een bekend malwaresysteem?
Wachten op orders is niet "niets doen". Alleen is het nog niet schadelijk. Maar wanneer ongewenste/ongevraagde software op een systeem kan komen, is dat altijd een puntje van zorg. Onderzoek de software, zoek de besmettingsroute en dicht dan alles af. Het is fijn, dat Apple het ontwikkelaarscertificaat intrekt. Alleen is het belangrijk om te weten, of het certificaat is aangevraagd door de makers van de troep, of dat ze het gejat hebben...
In het eerste geval weten ze waarschijnlijk wie het gedaan heeft, in het tweede geval moet er bij de eigenlijke eigenaar gekeken worden, hoe ze er aan zijn gekomen. Werk genoeg dus om gaten te dichten.
Dus ik weet niet wat ik van dit verhaal moet denken.
Dan zou het macOS bashing moeten zijn, mijn Mac is heel gelukkig met zijn niet macOS. ;-)
het grappige is nu net dat dit stukje troep daadwerkelijk bash gebruikt op de mac om te deployen en zichzelf persistent te maken... dus ja letterlijk en figuurlijk mac os bashen :).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?