Sicherheitsforscher von Red Canary haben die Silver Sparrow getaufte Malware entdeckt und gemeinsam mit Forschern von Malwarebytes und VMWare Carbon Black analysiert. „Laut den von Malwarebytes zur Verfügung gestellten Daten hatte Silver Sparrow bis zum 17. Februar 29.139 macOS-Endpunkte in 153 Ländern infiziert, darunter eine hohe Anzahl in den Vereinigten Staaten, Großbritannien, Kanada, Frankreich und Deutschland“, schrieb Tony Lambert von Red Canary in einem Bericht, der letzte Woche veröffentlicht wurde.
Trotz der hohen Anzahl an Infektionen gibt es nur wenige Details darüber, wie die Malware verbreitet wurde und Anwender infiziert hat. Es ist unklar, ob Silver Sparrow in bösartigen Anzeigen, raubkopierten Anwendungen oder gefälschten Flash-Updatern versteckt war – dem klassischen Verbreitungsvektor für die meisten Mac-Malware-Stämme heutzutage. Darüber hinaus ist auch der Zweck dieser Malware unklar, und die Forscher wissen nicht, was ihr endgültiges Ziel ist.
Sobald Silver Sparrow ein System infiziert hat, wartet die Malware nur noch auf neue Befehle von ihren Betreibern – Befehle, die während der Zeit, in der die Forscher die Malware analysierten, nie eintrafen, in der Hoffnung, mehr über ihr Innenleben zu erfahren, bevor sie ihren Bericht veröffentlichten.
Dies sollte jedoch nicht als gescheiterter Malware-Stamm interpretiert werden, warnt Red Canary. Es ist möglich, dass die Malware in der Lage ist, die Forscher zu erkennen, die ihr Verhalten analysieren, und es einfach vermeidet, ihre Nutzlasten der zweiten Stufe an diese Systeme zu liefern.
Die große Anzahl infizierter Systeme deutet eindeutig darauf hin, dass es sich um eine sehr ernste Bedrohung handelt und nicht nur um einen einmaligen Test eines Bedrohungsakteurs.
Darüber hinaus bietet die Malware auch Unterstützung für die Infizierung von macOS-Systemen, die auf Apples neuester M1-Chiparchitektur laufen, was einmal mehr bestätigt, dass es sich um eine neuartige und gut gepflegte Bedrohung handelt.
Tatsächlich ist Silver Sparrow der zweite entdeckte Malware-Stamm, der auf M1-Architekturen laufen kann, nachdem der erste nur vier Tage zuvor entdeckt wurde. Das zeigt genau, wie hochmodern diese neue Bedrohung wirklich ist.
„Obwohl wir noch nicht beobachtet haben, dass Silver Sparrow weitere bösartige Nutzdaten liefert, deuten seine zukunftsweisende M1-Chip-Kompatibilität, seine globale Reichweite, seine relativ hohe Infektionsrate und seine operative Reife darauf hin, dass Silver Sparrow eine ziemlich ernste Bedrohung darstellt, die einzigartig positioniert ist, um im Handumdrehen eine potenziell folgenschwere Nutzlast zu liefern“, warnte Lambert in seinem Bericht. „Angesichts dieser Gründe zur Besorgnis wollten wir im Sinne der Transparenz alles, was wir wissen, lieber früher als später mit der breiteren Infosec-Branche teilen.“
Der Red Canary-Bericht enthält Indikatoren für eine Kompromittierung, wie z. B. Dateien und Dateipfade, die von der Malware erstellt und verwendet werden und die zur Erkennung infizierter Systeme verwendet werden können.