三萬台蘋果電腦遭惡意軟體入侵,包括最新 M1 系列

蕭簫 發自 凹非寺,量子位 報道 | 公眾號 QbitAI

蘋果新出的M1系列,正被惡意軟體「盯上」。

現在,一個名為「銀絲雀」(Silver Sparrow)的新型惡意軟體,已經悄悄入侵了全球153個國家的30000臺Mac。

傳播之廣、行動之隱蔽,幾乎讓網路安全專家們措手不及。

而且,他們不僅無法掌控「銀絲雀」的傳播途徑,也還不清楚它的最終目的。

換而言之,它不僅隨時可能「自爆」,而且還能在「作案」後,無痕刪除自己。

隨時「自爆」的炸彈

這個名為「銀絲雀」的新型惡意軟體,獨特在什麼地方?

首先,這是個用JavaScript編寫的惡意軟體,這對於MacOS來說非常罕見。

此外,它還特意為M1更新了一版軟體。現在的兩版軟體中,一個針對Intel系列Mac設備,另一個則針對基於M1的、以及舊版的Mac設備。

這個軟體的傳播速率高、覆蓋率廣、M1兼容性強,運行效果也良好,最關鍵的是,目前專家尚未發現它是如何傳播的。

專家發現,「銀絲雀」的基礎設施託管在亞馬遜雲平臺(Amazon Web Services s3)上,這是大多數公司都在使用的雲資源。

「銀絲雀」的可怕之處在於,安全研究人員發現,它現在還在蟄伏期(尚未發現其有效載荷)。

目前,解析兩個版本的檔案結果,僅是這樣的(略帶惡意):

而且,「銀絲雀」還具有「自毀」程序,可以在事後刪除自己,不留任何痕跡。

這款惡意軟體只是每小時向伺服器發送一條訊息,還沒有任何大動作,但是一旦滿足觸發條件,將產生嚴重後果。

如何檢查自己的Mac

截至目前,研究人員還不知道「銀絲雀」使用的是什麼攻擊向量 (attack vector)。

攻擊向量指一種路徑或手段,駭客可以通過它訪問計算機或網路伺服器,以傳遞有效負載或惡意結果。

因此,目前還不清楚「銀絲雀」的攻擊目標是什麼,僅能推測它可能是一款惡意廣告軟體

不過他們發現,「銀絲雀」會在~/Library/LaunchAgent檔案夾下生成agent/verx,後綴為plist的檔案。

也就是說,只要看到這些檔案,你的電腦就可能被感染了。

那麼,真的就沒有任何防範措施了嗎?

一位HN網友給出了幾點基礎的建議。

首先,保持作業系統、瀏覽器及其他軟體的更新。此外,可以在瀏覽器中安裝uBlock Origin,這是個過濾瀏覽器內容的擴展程序,以及AdGuard Home等廣告攔截器。

其次,安裝一款防火牆,這位網友推薦了Little Snitch,可用於監視應用程序,以阻止或允許它們通過高級規則連接到網路。(某些惡意軟體檢測到Little Snitch時,還會自動刪除)

最後,不要從不明來源安裝軟體。

無獨有偶

「銀絲雀」並非第一款針對M1系列Mac的惡意軟體。

事實上,就在一週前,還有人發現了另一款針對M1的惡意軟體GoSearch22

這是一個惡意廣告軟體Pirrit的「升級版」,針對M1搭載的ARM64架構,對軟體進行了對應的修改。

GoSearch22能夠持續攻擊Mac設備,且普通使用者難以將其刪除。

它會將自己隱蔽成一個「瀏覽器擴展程序」,從Safari、Chrome等Mac瀏覽器上搜集資料,然後強制展示優惠券、廣告橫幅和惡意彈窗。

研究人員推測,GoSearch22的目的,是從廣告、使用者搜尋結果中牟利,此外,也可能在未來開發出更多惡意功能。

目前,蘋果已經撤銷了Pirrit開發商使用的開發者證書。

但這些惡意軟體接二連三地出現,也在逼迫著防毒引擎進行升級。

防毒軟體亟待升級

就在上週,專家們利用GoSearch22,對一系列防毒引擎進行了「測試」。

他們發現,竟然有接近15%的防毒引擎,沒能檢測出GoSearch22的存在,但基本都能檢測出它的上一個版本Pirrit。

也就是說,已有的防毒引擎,仍然在針對x86_64平臺進行防護,然而對於根據ARM架構編寫的惡意軟體,卻沒有「招架之力」。

意味著,這些針對x86_64平臺編寫的病毒分析工具或防病毒引擎,可能無法處理ARM64二進位制檔案。

因此,能否檢測出這些為ARM架構編寫的惡意軟體(「銀絲雀」、GoSearch22等),已經成為防毒軟體評判的新標準。

在防毒軟體與惡意軟體的「博弈」之下,如何進行軟體安全迭代升級?

M1還有很長的路要走。

參考連結:

https://arstechnica.com/information-technology/2021/02/new-malware-found-on-30000-macs-has-security-pros-stumped/

https://redcanary.com/blog/clipping-silver-sparrows-wings/

https://threatpost.com/silver-sparrow-malware-30k-macs/164121/

https://www.vice.com/en/article/v7mnk4/hackers-are-starting-to-code-malware-specifically-for-apples-m1-computers

https://news.ycombinator.com/item?id=26204756

https://howtoremove.guide/gosearch22-mac/

相關文章

黃仁勳把自己做成了虛擬娃娃

黃仁勳把自己做成了虛擬娃娃

明敏 發自 凹非寺量子位 報道 | 公眾號 QbitAI 英偉達是推出黃仁勳手辦了嗎??? 看上去還挺可愛的呢。 不過事情可沒有這麼簡單,接...