摘要：与大多数使用 preinstall 和 postinstall 脚本执行命令或安装其他恶意软件的 MacOS 勒索软件不同，Silver Sparrow 原生版本运行在苹果 11 月推出的 M1 芯片上，利用 MacOS 安装程序 JavaScript API 来执行命令。

近日，一款名为“Silver Sparrow”的勒索软件在全球近 3 万台 Mac 上被发现，根据 Malwarebytes 的报告，该恶意软件已经感染了 153 个国家/地区的 29,139 台 Mac 设备，并在美国、英国、加拿大、法国和德国大量传播。

尽管苹果一直以 MacOS 系统的安全性为荣，但事实是，没有绝对的安全系统，恶意软件、勒索病毒等已经逐渐将魔爪伸向了 MacOS 操作系统。

在此之前，也有针对 MacOS 系统的勒索病毒软件 MacRansom 出现。该病毒一旦被安装到 Mac 设备上，就会加密设备内的资料文件，将之删除也不能解密文件，只有向勒索者支付比特币才可解密。

目前，Silver Sparrow 病毒的攻击目的尚不明确，研究人员还在对该病毒进行行为分析。分析显示，每隔一小时，受感染的 Mac 设备就会检查一个控制服务器，看看是否有新的恶意软件运行的命令或要执行的二进制文件。

如上图所示，Silver Sparrow 以两个不同文件形式分发，分别为“ updater.pkg”和“ update.pkg”。两者唯一区别是 update.pkg 同时包含 Intel x86_64 和 Apple M1 二进制文件，而 updater.pkg 仅包含 Intel 可执行文件。

值得注意的是，与大多数使用 preinstall 和 postinstall 脚本执行命令或安装其他恶意软件的 MacOS 勒索软件不同，Silver Sparrow 原生版本运行在苹果 11 月推出的 M1 芯片上，利用 MacOS 安装程序 JavaScript API 来执行命令。JavaScript 的使用会产生不同的遥测，使根据命令行参数分析并检测恶意活动变得困难。

然而，到目前为止，研究人员还没有观察到任何有效载荷在受感染的 3 万台机器上的交付。因为执行它们仅显示“ Hello World”或“ You did it！”的屏幕，如下所示。

病毒研究人员也在发表的博客文章中表示：“虽然我们还没有观察到 Silver Sparrow 提供额外的恶意有效载荷，但其前瞻性的 M1 芯片兼容性、全球覆盖范围、相对较高的感染率和操作成熟度表明，Silver Sparrow 是一个相当严重的威胁，其独特的定位是在一瞬间提供潜在的影响性有效载荷。“

Silver Sparrow 的出现，标志着针对 MacOS 系统的网络攻击，将可能成为常态，这无疑已经给广大的 Mac 用户敲响了警钟。

MacOS 系统的封闭性较强，一般不越狱、不随便点击弹窗、在正规网站下载软件是不会中病毒的。若不幸中招，如果之前有备份，可通过备份资料重装系统解决。对于来势汹汹的未知威胁，最传统的方法，反而是最靠谱的。