Mysterieuze nieuwe macOS malware voor M1 roept veel vragen op

Beveiligingsonderzoekers van Red Canary melden dat de Silver Sparrow-malware ervoor zorgt dat geïnfecteerde Macs eenmaal per uur contact opnemen met een server. Het is echter onduidelijk wat de bedoeling daarvan is. De onderzoekers kijken nog wat er gebeurt met de geïnfecteerde machines, maar zijn daar nog niet achter. Er lijkt op het moment niets te gebeuren, wat de indruk wekt dat de malware plotseling actief kan worden zodra er aan een bepaalde voorwaarde is voldaan. Er zit ook een zelfvernietigend mechanisme in, maar ook hiervan is niet bekend of het ooit is gebruikt. Tot nu toe is Silver Sparrow aangetroffen op 29.139 Macs wereldwijd, in 153 landen. De nadruk ligt daarbij op de VS, Verenigd Koninkrijk, Canada, Frankrijk en Duitsland.

Silver Sparrow gebruikt de macOS Installer JavaScript API om opdrachten uit te voeren, waardoor het moeilijk te analyseren is. Ook wordt er gebruik gemaakt van Amazon Web Services en het Akamai-netwerk voor contentdistributie, om te zorgen dat de infrastructuur betrouwbaar werkt.

Wat ook opvallend is, is dat de malware is aangepast voor Apple’s M1-chip en er native op draait. Macs met Intel-chips kunnen echter ook besmet worden. Het is voor de tweede keer dat er malware voor Apple Silicon is ontdekt. De onderzoekers van Red Canary zijn bezorgd, ook al is er nu nog geen directe dreiging. De hoge mate van infectie, het wereldwijde bereik en het feit dat het goed gemaakt is, zou in de toekomst wel eens een behoorlijke bedreiging kunnen vormen. Vandaar dat de onderzoekers het nu alvast melden, zodat de hele community erover kan meedenken.

Meer informatie lees je bij Ars Technica.

Hoe weet je of je besmet bent?

Om te achterhalen of je besmet bent, moet je een stappenplan doorlopen. In de blogposting van Red Canary vind je onder het kopje ‘ Indicators of Compromise’ wat je hiervoor moet doen.