天创培训:您身边的信息安全培训专家!
开班计划
天创CISP/CISP-PTE寒假集训营火热招生中
主讲老师   张老师
开课时间   1月23日-2月5日,2月22日-2月6日
培训方式   线上课程+线下培训
授课天次   
上课时间   1月,2月
课程介绍 在线报名
CISP-PTE一月寒假训练营火热报名中
主讲老师   张老师
开课时间   1月
培训方式   线上课程+线下培训
授课天次   21
上课时间   1月
课程介绍 在线报名
2021年1月CISP开班!火热招生中!
主讲老师   张老师、王老师等
开课时间   1月9日
培训方式   网络课程
授课天次   培训5天+考试半天
上课时间   1月
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

30,000台Mac上的Silver Sparrow恶意软件使安全专家感到困惑

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2021-02-23  关键词:苹果,黑客,macOS,恶意软件,安全

据研究人员称,截至2月中旬,Silver Sparrow恶意软件已在153个国家/地区感染了近30,000个macOS。

2月初,Red Canary的网络安全研究人员在macOS上发现了一种新的恶意软件。他们称其为“银麻雀”。

使Silver Sparrow恶意软件特别独特的原因是使用JavaScript来执行自身,以及出现了针对Apple最新的M1 ARM64架构编译的相关二进制文件。值得注意的是,前美国国家安全局研究员Patrick Wardle发现的另一款Mac恶意软件已经将苹果的M1芯片作为目标

Silver Sparrow为例,截至2月中旬,该恶意软件已影响153个国家的近30,000个macOS。 

此恶意软件有两种不同类型。两种版本之间的定义差异是,一个版本仅包含针对Intel x86_64架构编译的Mach-O二进制,另一个版本包含针对Intel和M1 ARM64架构编译的Mach-O二进制。

此外,Silver Sparrow恶意软件还具有自毁功能。但是,没有迹象表明使用了此功能,从而使该机制的目的未知。

使Silver Sparrow恶意软件特别有趣的是缺少最终有效负载。(有效负载是指恶意软件中引起恶意操作的部分)。

到目前为止,研究人员尚未发现这种恶意软件给系统带来的危害。这使得该恶意软件的真实意图成为一个完全的谜。 

“尽管我们还没有观察到Silver Sparrow可以提供其他恶意负载,但其前瞻性的M1芯片兼容性,全球覆盖范围,相对较高的感染率以及运营成熟度表明Silver Sparrow是相当严重的威胁,具有独特的定位,可以提供潜在的影响瞬间就会发现有效载荷,”红金丝雀的研究人员在博客文章中提到。

尽管研究人员仅在相当数量的29,139个macOS端点上发现了Silver Sparrow恶意软件,但他们相信该数字可能更高,因为这些只是Malwarebytes可以看到的端点。

苹果,黑客,macOS,恶意软件,安全

Red Sparrow的工程师提供了一组描述性分析,可以使用户在其系统上检测到此恶意软件。 

寻找一个看起来像PlistBuddy的进程,并与包含以下内容的命令行一起执行:LaunchAgents和RunAtLoad以及true。这种分析有助于我们找到多个建立LaunchAgent持久性的macOS恶意软件家族。

查找包含sqlite3的进程,并与包含以下内容的命令行一起执行:LSQuarantine。这种分析有助于我们找到操纵或搜索下载文件的元数据的多个macOS恶意软件家族。

寻找一个似乎卷曲的进程,并与包含s3.amazonaws.com的命令行一起执行。此分析有助于我们使用S3存储桶进行分发来找到多个macOS恶意软件家族。

除此之外,用户还可以使用来自Malwarebytes等公司的免费软件来保护其设备,该公司可以扫描其系统并将其发现的任何恶意代码与计算机的其余部分隔离。

(来源:HackRead)



推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000