Что за вирус Silver Sparrow?
Почти 40 тыс. компьютеров Mac оказались заражены новым вирусом Silver Sparrow, который привлек внимание специалистов в сфере информационной безопасности. Об этом Брайан Донохью, аналитик разведывательной службы компании Red Canary, занимающейся информационной безопасностью, рассказал агентству ABC News.
Вредоносная программа была обнаружена на компьютерах не менее чем в 153 странах мира, преимущественно в США, Великобритании, Канаде, Франции и Германии. По словам Донохью, на деле зараженных устройств наверняка больше 40 тыс., так как это только данные компании Malwarebytes, разрабатывающей программное обеспечение (ПО) для кибербезопасности.
Вирус был обнаружен экспертами компании Red Canary и изучен совместно со специалистами из Malwarebytes и VMWare Carbon Black. У вредоносной программы обнаружились две необычные особенности: ее предназначение до сих пор неясно, и одна из двух ее версий создана для устройств с новым чипом от Apple M1, выпущенным совсем недавно, в конце 2020 года.
Что известно о вирусе Silver Sparrow?
Как именно Silver Sparrow распространяют, пока неизвестно. Возможно, через такие стандартные каналы, как вредоносная реклама, пиратские программы или поддельные обновления Flash. Ясно то, что установочные пакеты вируса используют JavaScript API (интерфейс программирования на языке JavaScript) установщика macOS, что наблюдается впервые в случае вредоносного ПО.
Известно, что имена файлов-установщиков Silver Sparrow — «update.pkg» (для архитектур Intel x86_64 и M1 ARM64) и «updater.pkg» (только для архитектуры Intel x86_64). Признаком заражения также может быть наличие файлов (скриптов) по следующим путям:
~/Library/Application Support/verx_updater/verx.sh;
/tmp/agent.sh.
После заражения системы Silver Sparrow раз в час обращается к неизвестному серверу и ожидает новых команд от своих операторов, но за все время, что исследователи наблюдали за вирусом, никаких команд не поступало.
«У большинства вредоносных программ есть конечная цель. Это может быть кража конфиденциальной информации, нанесение ущерба устройствам или серверам или блокирование доступа к данным. Какова конечная цель в данном случае, мы не знаем, так как пока не обнаружили, чтобы Silver Sparrow совершал какие-либо злонамеренные действия», — объяснил Брайан Донохью.
Эксперты предполагают также, что вирус может обнаруживать аналитические инструменты и оставаться неактивным, замечая, что за ним «следят». Учитывая масштаб заражения и тот факт, что Silver Sparrow может работать даже в системах с новым чипом Apple M1, вредоносная программа непохожа на неудачный эксперимент или шутку хакеров, отмечают эксперты. Что еще примечательно, предусмотрен алгоритм самоуничтожения вируса, который может стереть все упоминания о его присутствии на компьютере.
Как отреагировали в Apple?
После обнаружения вируса компания Apple сразу отозвала текущие сертификаты безопасности учетных записей разработчиков, которые использовались для подписи пакетов вредоносного ПО. Теперь их нельзя установить, если у пользователя стоят настройки безопасности по умолчанию. Это касается только приложений в Mac App Store или от разработчиков с действующими сертификатами.
