image

Malwarebytes: 29.000 Macs op onbekende wijze besmet met malware

maandag 22 februari 2021, 11:38 door Redactie, 9 reacties
Laatst bijgewerkt: 22-02-2021, 12:41

Ruim 29.000 Macs zijn besmet geraakt met een nieuw malware-exemplaar, maar de wijze waarop dit precies gebeurde is onbekend. Ook blijkt de malware nog helemaal niets op geïnfecteerde systemen te doen. Het daadwerkelijke doel is daardoor onduidelijk.

Antimalwarebedrijf Malwarebytes detecteerde in totaal 29.139 besmette Mac-systemen in 153 landen. Het werkelijke aantal ligt mogelijk hoger, aangezien dit alleen de besmettingen zijn die door Malwarebytes werden waargenomen. De meeste infecties telde het bedrijf in de Verenigde Staten, het Verenigd Koninkrijk, Canada, Frankrijk en Duitsland. Securitybedrijf Red Canary maakte een analyse van de malware, die het Silver Sparrow noemt.

De malware zat verborgen in twee bestanden genaamd updater.pkg en update.pkg. Dat zou erop kunnen duiden dat de malware als malafide update is aangeboden. In het verleden werd veel Mac-malware via zogenaamde Adobe Flash Player-updates verspreid. Of dat ook in dit geval de infectievector was is onbekend. Ook verdere details over getroffen gebruikers ontbreken.

Tevens blijkt dat de malware niets op besmette systemen uitvoert. Eenmaal actief wacht Silver Sparrow op instructies van de aanvallers, maar die zijn niet door onderzoekers waargenomen. Daarnaast kunnen de aanvallers een commando versturen waardoor de malware zichzelf van het systeem verwijdert. Silver Sparrow blijkt ook op Macs met de nieuwe M1-processor te werken. Onlangs maakte onderzoeker Patrick Wardle ook al melding van malware die het nieuwe platform ondersteunt. Apple heeft de ontwikkelaarscertificaten van beide Silver Sparrow-bestanden inmiddels ingetrokken.

Reacties (9)
22-02-2021, 12:04 door Anoniem
[sarcasme]Zo, kunnen we meteen beginnen met Mac-bashing[/sarcasme]
22-02-2021, 12:15 door Anoniem
Maar als het niets doet is het toch geen malware?
22-02-2021, 12:43 door Anoniem
Door Anoniem: Maar als het niets doet is het toch geen malware?

"Ook blijkt de malware -nog- helemaal niets op geïnfecteerde systemen te doen. Het -daadwerkelijke- doel is daardoor
onduidelijk."

Proof of concept? Pre-loader voor ellende na datum X?
Dat het nu niets doet wil niet zeggen dat het inactief is...
22-02-2021, 13:07 door Anoniem
Door Anoniem: [sarcasme]Zo, kunnen we meteen beginnen met Mac-bashing[/sarcasme]

Dan zou het macOS bashing moeten zijn, mijn Mac is heel gelukkig met zijn niet macOS. ;-)
22-02-2021, 13:23 door Anoniem
Een vreemd verhaal, aangezien de Sandbox in OSX (MacOS) alarm slaat dat een EVADER is vastgesteld.
Dus ik weet niet wat ik van dit verhaal moet denken.
22-02-2021, 14:04 door walmare
Door Anoniem: Maar als het niets doet is het toch geen malware?
Dan is het inderdaad geen malware mara kan het wel worden zoals zo veel programma's.
Grote vraag is hoe het er op is gekomen? Is het misschien meegekomen met gesloten 3party software (antivirus bv) ? komt het van Apple zelf of is het in aanraking gekomen met een bekend malwaresysteem?
22-02-2021, 14:21 door Anoniem
Door Anoniem: Maar als het niets doet is het toch geen malware?

Wachten op orders is niet "niets doen". Alleen is het nog niet schadelijk. Maar wanneer ongewenste/ongevraagde software op een systeem kan komen, is dat altijd een puntje van zorg. Onderzoek de software, zoek de besmettingsroute en dicht dan alles af. Het is fijn, dat Apple het ontwikkelaarscertificaat intrekt. Alleen is het belangrijk om te weten, of het certificaat is aangevraagd door de makers van de troep, of dat ze het gejat hebben...

In het eerste geval weten ze waarschijnlijk wie het gedaan heeft, in het tweede geval moet er bij de eigenlijke eigenaar gekeken worden, hoe ze er aan zijn gekomen. Werk genoeg dus om gaten te dichten.
22-02-2021, 15:55 door Anoniem
Door Anoniem: Een vreemd verhaal, aangezien de Sandbox in OSX (MacOS) alarm slaat dat een EVADER is vastgesteld.
Dus ik weet niet wat ik van dit verhaal moet denken.
Zolang de sandbox niet per applicatie functioneert, is de sandbox een wassen neus als het op bescherming aankomt. Vooral dankzij de browser(s).
22-02-2021, 15:57 door Anoniem
Door Anoniem:
Door Anoniem: [sarcasme]Zo, kunnen we meteen beginnen met Mac-bashing[/sarcasme]

Dan zou het macOS bashing moeten zijn, mijn Mac is heel gelukkig met zijn niet macOS. ;-)

het grappige is nu net dat dit stukje troep daadwerkelijk bash gebruikt op de mac om te deployen en zichzelf persistent te maken... dus ja letterlijk en figuurlijk mac os bashen :).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.