さらなるマルウェアの影響アップルシリコンMac は発見されましたが、研究者らは今のところ、悪意のあるペイロードが存在しないことを発見しました。
Apple の M1 ベース Mac を狙ったマルウェアがこれまで考えられていたよりも多く存在する可能性があるようです。続いて、初期報告野生で発見された最初の M1 マルウェアに比べて、さらに多くのマルウェアが感染しているようですが、その種類は特に歯のないものです。
2月初旬、レッドカナリアの研究者ら発見した他の形式のマルウェアと同様に、LaunchAgent を使用して存在を示す macOS マルウェアの一種。研究者にとって興味深いのは、このマルウェアが実行に JavaScript を使用する方法により、通常のアドウェアとは異なる動作をすることです。
研究者らによって「Silver Sparrow」と名付けられたこのマルウェア クラスターには、M1 チップで動作するようにコンパイルされたバイナリも含まれていました。これにより、Apple Silicon Mac をターゲットにする可能性のあるマルウェアとなりました。
VMware Carbon Black と Malwarebytes の研究者によるさらなる調査により、Silver Sparrow は「これまで検出されていなかったマルウェア株」である可能性が高いことが判明しました。 2 月 17 日の時点で、このウイルスは 153 か国の 29,139 個の macOS エンドポイントで検出されており、感染の大部分は米国、英国、カナダ、フランス、ドイツに集中しています。
公開時点では、このマルウェアは被害者の Mac に悪意のあるペイロードを配信するために使用されていませんでしたが、将来的には変更される可能性があります。 M1 との互換性、「比較的高い感染率」、およびマルウェアの運用の成熟度により、このマルウェアは「潜在的に影響を与える可能性のあるペイロードを即座に配信できる独自の立場にある」十分に深刻な脅威であるとみなされ、一般公開。
このマルウェアには 2 つのバージョンが発見され、1 つのバージョンのペイロードは Intel ベースの Mac のみに影響を与えるバイナリで構成され、もう 1 つは Intel と M1 アーキテクチャの両方向けにコンパイルされたバイナリでした。最初のバージョンでは文字通り「Hello, World!」と表示されるウィンドウが開くため、ペイロードは一見プレースホルダーであるように見えます。 2 番目のメッセージは「やったね!」です。
付属のバイナリの例 [Red Canary 経由]
悪意のあるマルウェアの場合、ペイロードにより、同じまたは類似のペイロード命令が単一の実行可能ファイルから両方のアーキテクチャに影響を与える可能性があります。
このマルウェアのメカニズムは、インストーラーを装って、「update.pkg」および「updater.pkg」というタイトルのファイルを回避していました。彼らはそれを利用しますmacOS疑わしいコマンドを実行するためのインストーラー JavaScript API。
これは、コマンドの実行にプレインストール スクリプトまたはポストインストール スクリプトを使用するマルウェアではなく、正規のソフトウェアで時々見られる動作です。
成功すると、感染は特定の URL でダウンロード可能なファイルをチェックしようとします。このファイルには、さらなる命令や最終的なペイロードが含まれている可能性があります。マルウェアを 1 週間監視した結果、目に見える最終的なペイロードは利用可能になりませんでしたが、将来的には変更される可能性があります。
シルバー・スパローに関しては、研究者らに未回答の疑問が複数残されている。これらには、最初の PKG ファイルがシステムの感染に使用されるようになった場所や、より広範なツールセットの一部であると思われるマルウェアのコードの要素が含まれます。
「このマルウェアの最終的な目的は謎です」と Red Canary 氏は認めます。 「マルウェアによってどのようなペイロードが配布されるのか、ペイロードがすでに配信されて削除されているのか、それとも攻撃者が将来の配布スケジュールを持っているのかを正確に知る方法はありません。」
また、バイナリは自動的に実行されるのではなく、被害者が積極的に検索して実行しない限り実行されないため、「Hello World」実行可能ファイルが含まれるかどうかという問題もあります。実行可能ファイルは、これが開発中のマルウェアである可能性があること、またはマルウェアを他の当事者に正当なものに見せるためにアプリケーション バンドルが必要だったことを示唆しています。
Isamu 
Isamu 
Isamu