摘要:与大多数使用 preinstall 和 postinstall 脚本执行命令或安装其他恶意软件的 MacOS 勒索软件不同,Silver Sparrow 原生版本运行在苹果 11 月推出的 M1 芯片上,利用 MacOS 安装程序 JavaScript API 来执行命令。
近日,一款名为“Silver Sparrow”的勒索软件在全球近 3 万台 Mac 上被发现,根据 Malwarebytes 的报告,该恶意软件已经感染了 153 个国家/地区的 29,139 台 Mac 设备,并在美国、英国、加拿大、法国和德国大量传播。
尽管苹果一直以 MacOS 系统的安全性为荣,但事实是,没有绝对的安全系统,恶意软件、勒索病毒等已经逐渐将魔爪伸向了 MacOS 操作系统。
在此之前,也有针对 MacOS 系统的勒索病毒软件 MacRansom 出现。该病毒一旦被安装到 Mac 设备上,就会加密设备内的资料文件,将之删除也不能解密文件,只有向勒索者支付比特币才可解密。
目前,Silver Sparrow 病毒的攻击目的尚不明确,研究人员还在对该病毒进行行为分析。分析显示,每隔一小时,受感染的 Mac 设备就会检查一个控制服务器,看看是否有新的恶意软件运行的命令或要执行的二进制文件。
如上图所示,Silver Sparrow 以两个不同文件形式分发,分别为“ updater.pkg”和“ update.pkg”。两者唯一区别是 update.pkg 同时包含 Intel x86_64 和 Apple M1 二进制文件,而 updater.pkg 仅包含 Intel 可执行文件。
值得注意的是,与大多数使用 preinstall 和 postinstall 脚本执行命令或安装其他恶意软件的 MacOS 勒索软件不同,Silver Sparrow 原生版本运行在苹果 11 月推出的 M1 芯片上,利用 MacOS 安装程序 JavaScript API 来执行命令。JavaScript 的使用会产生不同的遥测,使根据命令行参数分析并检测恶意活动变得困难。
然而,到目前为止,研究人员还没有观察到任何有效载荷在受感染的 3 万台机器上的交付。因为执行它们仅显示“ Hello World”或“ You did it!”的屏幕,如下所示。
病毒研究人员也在发表的博客文章中表示:“虽然我们还没有观察到 Silver Sparrow 提供额外的恶意有效载荷,但其前瞻性的 M1 芯片兼容性、全球覆盖范围、相对较高的感染率和操作成熟度表明,Silver Sparrow 是一个相当严重的威胁,其独特的定位是在一瞬间提供潜在的影响性有效载荷。“
Silver Sparrow 的出现,标志着针对 MacOS 系统的网络攻击,将可能成为常态,这无疑已经给广大的 Mac 用户敲响了警钟。
MacOS 系统的封闭性较强,一般不越狱、不随便点击弹窗、在正规网站下载软件是不会中病毒的。若不幸中招,如果之前有备份,可通过备份资料重装系统解决。对于来势汹汹的未知威胁,最传统的方法,反而是最靠谱的。