Potrebbero essere molto più di 30mila i Mac presi di mira dalla minaccia, per ora, senza obiettivo dichiarato
Un malware nuovo, mai rilevato, ha fatto irruzione su quasi 30.000 Mac in tutto il mondo. Sta generando molte discussioni nei circoli della cibersicurezza, perché non si riesce ancora a capire come abbia fatto a eludere le difese di Apple e quale sia il suo obiettivo finale. Una volta ogni ora, i Mac infetti interrogano un server di controllo per vedere se ci sono nuovi comandi che il malware dovrebbe eseguire o binari da attivare. Finora, i ricercatori non hanno osservato nulla di particolare in alcuna delle macchine prese di mira, lasciando sconosciuto il movente di quello che è stato chiamato Silver Sparrow dagli specialisti di Red Canary che l’hanno scovato.
La mancanza di un payload suggerisce che il malware potrebbe entrare in azione una volta soddisfatta una condizione sconosciuta. Altrettanto curioso, il malware viene fornito con un meccanismo per rimuovere completamente ogni sua traccia, una capacità di auto-distruzione che è tipicamente riservata alle operazioni di alto livello. Oltre a queste domande, il malware è degno di nota per una versione che viene eseguita in modo nativo sul chip M1 che Apple ha introdotto a novembre, in teoria più sicuro dei chip Intel. Il binario dannoso è ancora più misterioso, perché utilizza l’API JavaScript del programma di installazione di macOS per eseguire i comandi. Ciò rende difficile analizzare il contenuto del pacchetto di installazione o il modo in cui quel pacchetto utilizza i comandi JavaScript suddetti.
Cosa può fare
Il malware è stato trovato in 153 paesi, con particolare interesse negli Stati Uniti, Regno Unito, Canada, Francia e Germania. L’utilizzo di Amazon Web Services e della rete di distribuzione dei contenuti Akamai garantisce che l’infrastruttura di comando funzioni in modo affidabile e rende anche più difficile il blocco dei server. I ricercatori di Red Canary hanno scritto in un post: “Sebbene non abbiamo ancora osservato Silver Sparrow fornire payload dannosi aggiuntivi, la sua compatibilità con chip M1 lungimirante, la portata globale, il tasso di infezione relativamente alto e la maturità operativa suggeriscono che il malware sia una minaccia ragionevolmente seria, pensata per causare conseguenze potenzialmente impattanti in poco tempo.
Alla luce di questi motivi di preoccupazione, in uno spirito di trasparenza, volevamo condividere tutto ciò che sappiamo con il settore il prima possibile”. Patrick Wardle, un esperto di sicurezza macOS, ha scritto: “Per me, la cosa più notevole è che è stato trovato su quasi 30.000 endpoint macOS. E questi sono solo gli endpoint che MalwareBytes può vedere (sito che ha aiutato Red Canary nella ricerca), quindi il numero è probabilmente molto più alto. È abbastanza diffuso e ancora una volta mostra che il malware per macOS sta diventando sempre più pervasivo e comune, nonostante gli sforzi di Apple”.
