La société de sécurité Red Canary a découvert un deuxième malware (Silver Sparrow) qui peut s’exécuter nativement sur les Mac M1.

silver sparrow malware mac m1

Silver Sparrow est un package malveillant qui utilise l’API Java Script du programme d’installation de macOS pour exécuter une série de commandes. Après avoir observé le malware pendant plus d’une semaine, Red Canary n’a pas encore trouvé la charge utile finale, donc la menace exacte posée par le malware reste un mystère. Ce qui est certain, c’est que la menace est définie comme très grave :

« Bien que nous n’ayons pas encore observé que Silver Sparrow fournisse des charges utiles malveillantes supplémentaires, sa compatibilité avec les puces M1, sa portée mondiale, son taux d’infection relativement élevé et sa maturité opérationnelle suggèrent qu’il s’agit d’une menace raisonnablement sérieuse, positionnée de manière unique pour fournir une charge utile potentiellement impactante. »

Selon les données fournies par Malwarebytes, au 17 février, « Silver Sparrow » avait infecté 29 139 systèmes macOS dans 153 pays, avec « des volumes de détection élevés aux États-Unis, au Royaume-Uni, au Canada, en France et en Allemagne ». Red Canary n’a pas précisé combien de ces systèmes étaient des Mac M1. Lorsqu’il est exécuté sur des Mac à processeur Intel, le package malveillant affiche simplement une fenêtre vide avec un message « Hello, World! », tandis que sur les Mac M1, le message est « You did it! ».

Red Canary a partagé les étapes pour détecter cette menace et d’autres menaces similaires sur macOS :

  • Recherchez le processus PlistBuddy qui semble s’exécuter avec une ligne de commande contenant les éléments suivants : LaunchAgents et RunAtLoad et true. Cette analyse permet de trouver plusieurs familles de logiciels malveillants macOS qui établissent la persistance de LaunchAgent.
  • Recherchez un processus qui semble exécuter sqlite3 avec un fichier de ligne de commande contenant « LSQuarantine ». Cette analyse permet de trouver plusieurs familles de logiciels malveillants macOS qui manipulent ou recherchent les métadonnées des fichiers téléchargés.
  • Recherchez le processus curl qui semble s’exécuter avec une ligne de commande contenant s3.amazonaws.com. Cette analyse permet de trouver plusieurs familles de logiciels malveillants macOS à l’aide de bucket S3 pour la distribution.

Notez que le premier malware capable de fonctionner nativement sur les Mac M1 a été découvert il y a quelques jours.

Partager un commentaire