Malware che colpisce i Mac: Silver Sparrow attacca anche gli Apple M1

C’è un malware che colpisce i Mac. Sia i Mac Intel che quelli con processore Apple ARM M1. A dare l’allarme la società di sicurezza Red Canary la quale ha individuato un misterioso virus “dormiente” installato in quasi 30 mila sistemi del device Apple. Battezzato dai ricercatori Silver Sparrow (passero d’argento), presenta caratteristiche evolute, ampia diffusione e allo stesso tempo il suo scopo e potenziale pericolo rimangono per il momento un mistero.

Malware Mac Silver Sparrow

Del malware che colpisce i Mac si sa ben poco quindi, e Apple appena lo ha identificato ha revocato ogni tipo di certificato limitando una diffusione ulteriore, e che è un tipo di malware che sfrutta le api di Javascript per andare a installare i payload. E è una delle prima volte che sui Mac viene usato questo tipo di attacco: Javascript, con lo sviluppo dei framework frontend, sta diventando il punto di attacco preferito per molti malintenzionati, un po’ come lo è stato Flash ai tempi.

Il malware che colpisce i Mac è avvolto da mistero

Silver Sparrow tuttavia resta un qualcosa di assolutamente misterioso, perché una volta che si installa (è richiesta una azione da parte dell’utente per farlo e ora che Apple ha revocato i certificati non è più eseguibile) controlla una volta ogni ora su un server di controllo la presenza di comandi da eseguire o di pacchetti da lanciare. Tuttavia ad oggi il malware non ha fatto niente di niente: controlla ma non agisce.

“La cosa più notevole è che è stato trovato su quasi 30 mila endpoint macOS, e questi sono solamente quelli che possono essere visti da Malwarebytes, quindi il numero è probabilmente molto più alto. Ancora una volta è dimostrazione che il malware per macOS sta diventando sempre più diffuso e comune, nonostante gli sforzi di Apple” ha commentato il noto ricercatore di sicurezza macOS Patrick Wardle.

C’è poi un secondo aspetto interessante: il malware include uno strumento di autorimozione profonda, una funzionalità che di norma viene sfruttata nelle operazioni di alto livello quando è necessario non lasciare tracce di compromissione. Ma, anche in questo caso, la funzione non è ancora stata utilizzata. Tutti questi elementi lasciano immaginare che Silver Sparrow attenda una particolare condizione, sconosciuta ed evidentemente non ancora verificatasi, per entrare in funzione.

Silver Sparrow, come funziona

Sono due le versioni esistenti del nuovo malware. Una, come già detto, per M1 e una per sistemi Intel x86_64. Nessuna delle due versioni, ad ora, ha compiuto alcuna azione. Apple ha revocato il certificato dello sviluppatore per entrambe le versioni.

Chi volesse verificare l’eventuale presenza di Silver Sparrow sui propri sistemi può riferirsi agli indicatori di compromissione che sono stati evidenziati da Red Canary, e riportato nella foto.

Si sottolinea che Silver Sparrow è stato individuato in quasi 30.000 Mac in USA, Regno Unito, Canada, Francia, Germania e complessivamente in 153 paesi. Secondo Wardle però il numero delle macchine infettate è senza dubbio sottostimato perché può essere rilevato solo sui Mac in cui è installato Malwarebytes.

Per rendere più sicuro il suo funzionamento Silver Sparrow si appoggia sia sui server Amazon Web Services (AWS) che su quelli Akamai, in questo modo risulta anche più difficile bloccarne il funzionamento. In ogni caso il fatto che sia stato installato non vuol dire necessariamente che sia in grado di sottrarre dati. Esistono diversi livelli di sicurezza che proteggono i dati degli utenti, soprattutto trattandosi di un sistema iniettato tramite javascript.