M1 恶意软件后，新的“Silver Sparrow”被发现，已感染 3 万台 Mac

发现首批针对 Apple M1 芯片的恶意软件后几天，研究人员披露了另一个以前未被发现的恶意软件，该恶意软件已在大约 30000 台运行 Intel x86_64 的 Mac 和 Apple M1 处理器中发现。

然而，这次行动仍然存在一个难题，由于缺乏下一级或最终有效载荷，研究人员无法确定其分布时间表，也不知道威胁是否正在积极开发。

恶意软件存在两个版本

网络安全公司 Red Canary 称这款恶意软件为“Silver Sparrow”，它识别出了两个不同版本的恶意软件——一个只为英特尔 x8664 编译，并于 2020 年 8 月 31 日上传到 VirusTotal (版本1) ，另一个版本于 1 月 22 日上传到数据库，兼容英特尔 x8664 和 M1 ARM64 架构(版本2)。

更加令人迷惑的是，x86_64 二进制文件在执行后仅显示消息“ Hello，World！”。而 M1 二进制文件显示为“您做到了！”，研究人员怀疑该文件已被用作占位符。

Red Canary 的 Tony Lambert 说：“ Mach-O 编译的二进制似乎没有做那么多事情，所以我们一直称它们为‘旁观者二进制’。”

Tony Lambert 还补充道：“我们无法确定恶意软件将分配什么样的有效载荷，是否已经交付和删除了有效载荷，或者他们是否有未来的分配时间表。”

根据来自 Malwarebytes 的数据，截至 2 月 17 日，29139 个 macOS 端点分布在 153 个国家，其中包括美国、英国、加拿大、法国和德国的大量检测。

尽管目标 macOS 平台有所不同，但这两个例子遵循了相同的操作方式: 使用 macOS 安装器 JavaScript API 来执行攻击命令，动态生成两个写入目标文件系统的 shell 脚本。

尽管“ agent.sh”在安装结束时立即执行，以通知 AWS 命令与控制(C2)服务器成功安装，但“ verx.sh”每小时运行一次，与 C2服务器联系以获得下载和执行的其他内容。

此外，该恶意软件具有从受感染主机中完全清除其存在的功能，这表明与该活动相关的参与者可能是由“隐身”技术激发的。

苹果已阻止进一步安装，Silver Sparrow 仍是严重威胁

作为对调查结果的回应，苹果已经撤销了与苹果开发者 ID 的 Saotia Seay (v1)和 Julie Willey (v2)签署的二进制文件，从而阻止了进一步的安装。

Silver Sparrow 是第二种恶意软件，其中包含可在苹果的新 M1 芯片上本地运行的代码。上周发现了一个名为 GoSearch22 的 Safari 广告软件扩展，已将其移植到可在由新处理器驱动的最新一代 Mac 上运行。

Tony Lambert 说：“尽管我们还没有观察到 Silver Sparrow 可以提供额外的恶意负载，但它前瞻性的 M1芯片兼容性、全球覆盖率、相对较高的感染率和运营成熟度表明，Silver Sparrow 是一个相当严重的威胁，处于独特的位置，可以在一瞬间提供具有潜在影响力的载荷。”