بیش از سی هزار مک توسط Silver Sparrow آلوده شدند!

بیش از سی هزار مک توسط Silver Sparrow آلوده شدند!

یک بدافزار جدید برای مک که به نام Silver Sparrow شناخته شده ، بیش از 30000 دستگاه در سراسر 153 کشور را آلوده کرده است که بیش ترین تعداد شناخته شده در آمریکا ، انگلیس ، کانادا ، فرانسه و آلمان هستند.

یک بدافزار جدید برای مک که به نام Silver Sparrow شناخته شده ، بی سروصدا بیش از 30000 دستگاه مک را آلوده کرده است.
در یک همکاری بین Red Canary, Malwarebytes و Vmware Carbon Black ، محققان یک بدافزار جدید کشف کرده اند.
طبق گفته های Malwarebyte ، این بدافزار در حدود 29139 دستگاه در سراسر 153 کشور را آلوده کرده است که بیش ترین تعداد در آمریکا ، انگلیس ، کانادا ، فرانسه و آلمان هستند.
نه یک بدافزار معمولی
در حالی که همیشه شرکت اپل به امنیت سیستم عامل خود افتخار میکرده ، روز به روز به بیشتر مورد حمله ی بدافزار ، باج افزار و آگهی افزار های مختلف قرار میگیرد.
در یک گزارش جدید توسط RedCanary ، محققان کشف کرده اند که بدافزار جدید که دستگاه مک را مورد حمله قرار میدهد ، رفتار نامعمولی نسبت به بقیه ی بدافزار ها دارد.
این بدافزار که SilverSparrow نام گذاری شده است به دو نام مختلف توزیع شده است ، به نام های ‘updater.pkg’ و ‘update.pkg’. تنها تفاوتی که توسط Red Canary مشاهده شده این است که update.pkg شامل دو فایل Intel x86_64 و Apple M1 binary میشود در حالی که updater.pkg تنها شامل فایل اجرایی Intel است.

بدافزار مک

برخلاف بیشتر بدافزار های سیستم عامل مک که از اسکریپت های ‘preinstall’ و ‘postinstall’ استفاده میکنند تا دستور اجرا یا ادامه ی نصب بدافزار را عملی کنند ، Silver Sparrow از جاوااسکریپت برای اجرای دستور هایش استفاده میکند. استفاده از جاوااسکریپت دوری سنج متفاوتی را ایجاد میکند که شناسایی فعالیت خرابکارانه را سخت تر میکند.
با استفاده از جاوا اسکریپت ، SilverSparrow اسکریپت شل را ایجاد میکند که توسط قسمت ارتباط با Command and control servers اجرا شده و فایل های LaunchAgent Plist XML را میسازد تا دستور های شل را پیوسته اجرا کند.

بدافزار مک

سپس LaunchAgent به command and control server هکر هر ساعت متصل میشود تا برای دستورات جدید بروز شود.
وقتی در حال اجرا باشد ، بدافزار بدنبال حضور ~/Library/._insu میگردد و اگر پیدا کند خود و تمامی فایل های مربوطه را حذف میکند. محققان هنوز نتوانسته متوجه شوند که چه عاملی باعث فعال شدن این کلید غیر فعالسازی میشود.
هدف بدافزار ناشناخته است
پس از بررسی این بدافزار برای یک هفته ، محققان Red Canary نتوانسته payload های دانلود شده و فعال شده دیگری توسط آپدیت های ساعتی پیدا کنند. پس هدف این بدافزار ناشناخته میماند.
طبق گفته های Red Canary : " در اضافه ، هدف نهایی این بدافزار ناشناخته است. ما هیچ راهی برای شناختن payload هایی که توسط بدافزار توزیع شده اند ، نداریم. اگر payload تا حالا منتشر شده ، حذف هم شده یا ممکن برنامه ای برای توزیع در آینده وجود داشته باشد."
فایل های دودویی Intel و Mach-O که با Silver Sparrow همراه شده اند به نظر میرسد متغیر هایی برای بدافزار در حال توسعه باشند که اجرای آن های فقط دو پیام ‘Hello World’ یا ‘You did it!’ را نمایش میدهد. (همانند تصویر زیر)

بدافزار مک

متاسفانه توزیع Silver Sparrow هم همچنان ناشناس مانده است.
طبق گفته های توماس رید محقق Malwarebyte : "بغیر از اینکه میدانیم توسط یک فایل pkg نصب شده اند ، هیچ اطلاعات دیگری نداریم. ما نمیدانیم که کاربران چگونه فایل نصب شونده را دریافت کرده اند. در حقیقت ، من یخورده مشکوکم که ممکن است همچنان در حال انتشار باشد ، به این روش ، حداقل"
چگونه وجود این باج افزار را در سیستم عامل خود چک کنیم :
در صورت نداشتن هیچگونه آنتی ویروس بروز ، میتوانید از چک لیستی که Red Canary در اختیار گذاشته استفاده کنید :

  • دنبال پروسه ای به نام PlistBuddy بگردید که در ارتباط با دستوری شامل : LaunchAgent و RunAtLoad و True باشد. این آنالیز کمک میکند تا بدافزار هایی را که ماندگاری LaunchAgent را سازماندهی میکنند شناسایی کنید.
    دنبال پروسه ای به نام sqlite3 بگردید که در ارتباط با دستوری شامل LSQuarantine باشد. این آنالیز به ما کمک میکند تا بدافزار هایی که در حال دستکاری یا جستجوی متادیتا برای دانلود فایل هستند را پیدا کنید.
    دنبال پروسه ای به نام curl باشید که در ارتباط با دستوری شامل s3.amazonaws.com باشد. این آنالیز به ما کمک میکند تا بدافزار هایی که از S3 buckets برای توزیع استفاده میکنند را شناسایی کنیم.

برای اجرای این مراحل میتوانید از کد های دستوری زیر در ترمینال استفاده کنید:

  • ps -aex | grep -i buddy
  • ps -aex | grep -i curl | grep -i amazon
  • ps -aex | grep -i sqlite3 | grep -i LSQuarantine

اگر پروسس هایی که در خروجی نشان داده شده ، در بالا نباشد شما باید حتما در اولین فرصت دستگاه خود را اسکن کنید.

منبع : www.bleepingcomputer.com