Mã độc Silver Sparrow lây nhiễm Apple Mac M1 với thông báo màu đỏ " You did it"

VNZ-NEWS
(Vn-Z.vn) 21 tháng 2 Theo MacRumors , công ty bảo mật Red Canary đã phát hiện ra phần mềm độc hại thứ hai được biết đến là "Silver Sparrow" (Chim sẻ bạc), được biên dịch chạy trên nguyên bản máy Mac M1.


20210221_212621_194.jpg

Thông báo mã độc được thực thi trên máy Mac chạy chipM1 image Credit: Jimmy Astle

Cái tên "Silver Sparrow", gói độc hại này sử dụng API JavaScript trong trình cài đặt macOS thực thi các lệnh đáng ngờ. Tuy nhiên, sau khi quan sát phần mềm độc hại trong hơn một tuần, cả Red Canary và các đối tác nghiên cứu đều không phát hiện được những thông tin dữ liệu về mã độc này. Vì vậy mối đe dọa cụ thể do phần mềm độc hại gây ra vẫn còn là một bí ẩn.

Mặc dù vậy, Red Canary đưa ra tuyên bố phần mềm độc hại vẫn có thể tiềm ẩn mối đe dọa khá nghiêm trọng. Theo Red Canary, Silver Sparrow cung cấp nhiều dữ liệu độc hại , khả năng tương thích với chip M1 tương lai, phạm vi phủ sóng toàn cầu, tỷ lệ lây nhiễm tương đối cao. Phần mềm độc hại này hoạt động rất thuần thục cho thấy Silver Sparrow là mối đe dọa rất nghiêm trọng.

Theo dữ liệu do Malwarebytes cung cấp, tính đến ngày 17 tháng 2, Silver Sparrow đã lây nhiễm 29.139 hệ thống macOS tại 153 quốc gia và khu vực. Trong đó bao gồm "một số lượng lớn các các hệ thống tại Hoa Kỳ, Vương quốc Anh, Canada, Pháp và Đức." Red Canary không nói rõ có bao nhiêuthiết bị Mac M1 bị nhiễm.

image3.png

Thông báo mã độc được thực thi trên máy Mac chạy chip Intel Image Credit: Erika Noerenberg
Red Canary gọi tệp nhị phân của Silver Sparrow là “tệp nhị phân của kẻ ngoài cuộc.” Khi phần mềm độc hại này được thực thi trên máy Mac chạy Intel, mã độc hại chỉ hiển thị thông báo “Xin chào,” Thế giới ! " ( Hello World) với cửa sổ thông tin trống. Trong khi đó nếu thực thi trên chip M1 silicon của Apple sẽ xuất hiện cửa sổ màu đỏ với nội dung" Bạn đã làm được! ( You did it) như hình minh họa ở trên.

Dù Red Canary đưa ra các phương pháp giúp phát hiện các mối đe dọa cho macOS, nhưng các bước này không nhằm mục đích chỉ phát hiện Silver Sparrow.

  • Tìm quá trình như PlistBuddy đang thực thi bằng dòng lệnh có chứa nội dung sau: launchAgents and RunAtLoad and true. Phân tích này có thể giúp tìm thấy nhiều họ phần mềm độc hại macOS để thiết lập tính bền vững của LaunchAgent.
  • Tìm quá trình sqlite3, đang thực thi bằng dòng lệnh sau. LSQuarantine. Phân tích này có thể giúp tìm thấy nhiều họ phần mềm độc hại macOS, thao tác hoặc tìm kiếm siêu dữ liệu các tệp đã tải xuống.
  • Tìm quy trình có vẻ như đang thực thi curl kết hợp với một dòng lệnh chứa: s3.amazonaws.com. Phân tích này có thể giúp tìm thấy nhiều họ phần mềm độc hại macOS sử dụng nhóm S3 để phân phối.
Hiện nay có dấu hiệu cho thấy ngày càng nhiều phần mềm độc hại bắt đầu nhắm mục tiêu vào các thiết bị Apple M1 Mac.



Vn-Z.vn team tổng hợp nguồn redcanary