Ecco come funziona il malware per MacOS

La società di sicurezza Red Canary ha individuato un nuovo malware per i sistemi Mac che utilizzano Apple M1 (diversi malware per chip Intel erano già noti) il cui funzionamento non è stato ancora compreso. Quello che si conosce è che una volta ogni ora, i Mac infetti verificano un server di controllo per trovare i eventuali nuovi comandi malevoli da eseguire. Delle 30.000 macchine MAC trovate infette da Malwarebytes (il numero totale potrebbe essere molto superiore ma queste sono solo le macchine scansionate) i ricercatori devono ancora osservare la consegna di un payload. Quindi non possiamo sapere quale sia l’obiettivo finale del malware. Sappiamo invece che il malware potrebbe entrare in azione una volta soddisfatta una condizione ad oggi ancora sconosciuta.

Inoltre, curioso, il malware viene fornito con un meccanismo per rimuovere completamente se stesso, una capacità che è tipicamente riservata alle operazioni di alto livello. Finora, tuttavia, non ci sono segni che la funzione di autodistruzione sia stata utilizzata, sollevando la questione del perché il meccanismo esista.

Il binario dannoso è ancora più misterioso perché utilizza l’API JavaScript del programma di installazione di macOS per eseguire i comandi. Ciò rende difficile analizzare il contenuto del pacchetto di installazione o il modo in cui quel pacchetto utilizza i comandi JavaScript.

Il malware è stato trovato in 153 paesi con rilevamenti concentrati negli Stati Uniti, nel Regno Unito, in Canada, in Francia e in Germania. Il suo utilizzo di Amazon Web Services e della rete di distribuzione dei contenuti Akamai garantisce che l’infrastruttura di comando funzioni in modo affidabile e rende anche più difficile il blocco dei server. I ricercatori di Red Canary, la società di sicurezza che ha scoperto il malware, chiamano il malware Silver Sparrow.