最近几天,安全研究人员连续发现苹果两款。M1芯片恶意软件,一个是Silver Sparrow(银雀),另一个是GoSearch 22,此时距离M1芯片发布才3个月。
据AppInsider 2月22日报道,安全研究公司Red Canary全球近3万台Mac电脑已经感染了恶意软件Silver Sparrow,但恶意软件的目标尚不清楚。
苹果表示已经撤销Silver Sparrow二进制档案的开发者凭证在产品和服务中采用了大量的安全硬件和软件保护,并部署了常规软件更新,可以防止威胁。
非典型恶意广告软件
根据阻止勒索软件攻击的网站Malwarebytes截至2月17日,Silver Sparrow29139台感染了153个国家Mac设备,包括美国、英国、加拿大、法国和德国。
研究人员说,研究人员说,Silver Sparrow不是典型的恶意广告软件。macOS使用广告软件“预安装”和“后安装”脚本执行命令或安装更多恶意软件,但Silver Sparrow利用JavaScript执行其命令JavaScript根据命令行参数检测恶意活动会产生不同的遥测。
SilverSparrow使用JavaScript创建shell脚本与命令和控制服务器通信,并创建LaunchAgent Plist XML定期执行文件shell脚本。
LaunchAgent 将每小时检测控制服务器,以确认是否有新的指令。恶意软件将检查是否存在~/Library/._insu一旦发现,文件和所有相关文件都将被删除。
Silver Sparrow存在两种版本,分别针对英特尔的x86处理器和苹果M1芯片的新款Mac电脑。
Red Canary指出两个版本Silver Sparrow二进制档案没有太大威胁,x86版本在Mac执行时,只会跳出显示器“Hello World!”的窗口,而M1执行版本时跳出“You did it!”红底窗。
研究人员说,尽管没有观察到Silver Sparrow但考虑到伤害M1芯片的兼容性、感染范围、相对较高的感染率等特性,该恶意软件时非常严重的资料安全威胁。
M1芯片已成为攻击目标
在Silver Sparrow几天前,研究人员刚刚发现了之一款M1恶意软件芯片GoSearch 22。
恶意软件由Mac数据安全研究人员Patrick Wardle发现,它是Mac广告软件Pirrit专门针对的变体M1版本。Pirrit将欺骗性广告推送给用户,当用户点击时,会下载安装流氓软件并秘密收集用户信息。
而变体后的GoSearch 22混淆度高,可伪装成合法Safari浏览器扩展程序,默默收集用户浏览数据,投放大量恶意网站广告,使用户感染更多恶意软件。
GoSearch 22去年11月获得苹果开发人员证书,并于12月底正式出现。曝光后,苹果取消了开发人员证书。
虽然目前只有MacBook Air、MacBook Pro及Mac mini三台新机搭载M1根据苹果未来两年的芯片,Mac全面重用系列产品M1芯片的承诺,以后针对M1 芯片的恶意软件会迅速增加,受到影响Mac苹果和Mac用户将面临更大的挑战。