摘要:與大多數使用 preinstall 和 postinstall 腳本執行命令或安裝其他惡意軟體的 MacOS 勒索軟體不同,Silver Sparrow 原生版本運行在蘋果 11 月推出的 M1 晶片上,利用 MacOS 安裝程序 JavaScript API 來執行命令。
近日,一款名為「Silver Sparrow」的勒索軟體在全球近 3 萬臺 Mac 上被發現,根據 Malwarebytes 的報告,該惡意軟體已經感染了 153 個國家/地區的 29,139 臺 Mac 設備,並在美國、英國、加拿大、法國和德國大量傳播。
儘管蘋果一直以 MacOS 系統的安全性為榮,但事實是,沒有絕對的安全系統,惡意軟體、勒索病毒等已經逐漸將魔爪伸向了 MacOS 作業系統。
在此之前,也有針對 MacOS 系統的勒索病毒軟體 MacRansom 出現。該病毒一旦被安裝到 Mac 設備上,就會加密設備內的資料文件,將之刪除也不能解密文件,只有向勒索者支付比特幣才可解密。
目前,Silver Sparrow 病毒的攻擊目的尚不明確,研究人員還在對該病毒進行行為分析。分析顯示,每隔一小時,受感染的 Mac 設備就會檢查一個控制伺服器,看看是否有新的惡意軟體運行的命令或要執行的二進位文件。
如上圖所示,Silver Sparrow 以兩個不同文件形式分發,分別為「 updater.pkg」和「 update.pkg」。兩者唯一區別是 update.pkg 同時包含 Intel x86_64 和 Apple M1 二進位文件,而 updater.pkg 僅包含 Intel 可執行文件。
值得注意的是,與大多數使用 preinstall 和 postinstall 腳本執行命令或安裝其他惡意軟體的 MacOS 勒索軟體不同,Silver Sparrow 原生版本運行在蘋果 11 月推出的 M1 晶片上,利用 MacOS 安裝程序 JavaScript API 來執行命令。JavaScript 的使用會產生不同的遙測,使根據命令行參數分析並檢測惡意活動變得困難。
然而,到目前為止,研究人員還沒有觀察到任何有效載荷在受感染的 3 萬臺機器上的交付。因為執行它們僅顯示「 Hello World」或「 You did it!」的屏幕,如下所示。
病毒研究人員也在發表的博客文章中表示:「雖然我們還沒有觀察到 Silver Sparrow 提供額外的惡意有效載荷,但其前瞻性的 M1 晶片兼容性、全球覆蓋範圍、相對較高的感染率和操作成熟度表明,Silver Sparrow 是一個相當嚴重的威脅,其獨特的定位是在一瞬間提供潛在的影響性有效載荷。「
Silver Sparrow 的出現,標誌著針對 MacOS 系統的網絡攻擊,將可能成為常態,這無疑已經給廣大的 Mac 用戶敲響了警鐘。
MacOS 系統的封閉性較強,一般不越獄、不隨便點擊彈窗、在正規網站下載軟體是不會中病毒的。若不幸中招,如果之前有備份,可通過備份資料重裝系統解決。對於來勢洶洶的未知威脅,最傳統的方法,反而是最靠譜的。
雲和大數據領域自媒體,關注數據安全、業務連續性、大數據管理、雲災備、存儲等行業熱點趨勢,洞察商業價值,傳遞大咖觀點,歡迎關注。