È stato battezzato Silver Sparrow dai ricercatori che lo hanno identificato: si tratta di un malware i cui obiettivi rimangono al momento avvolti dal mistero che prende di mira i computer con sistema operativo macOS. Una volta ogni ora si collega a un server per controllare se ci sono comandi da eseguire o pacchetti da scaricare, tornando poi a nascondersi silenziosamente. Fino ad ora non è stata eseguita alcuna azione malevola ad esclusione dell’installazione iniziale.
Silver Sparrow colpisce anche i Mac con Apple M1
Chi lo ha sviluppato ha inoltre previsto la possibilità di autoeliminazione, accorgimento solitamente adottato nelle operazioni di alto profilo in cui è necessario non lasciare dietro di sé alcuna traccia. Un altro tratto distintivo è la possibilità di colpire anche i Mac con chip Apple M1: si tratta della seconda componente malevola di questo tipo dopo l’adware scoperto la scorsa settimana.
Given all of this, Silver Sparrow is uniquely positioned to deliver a potentially impactful payload at a moment’s notice, so we wanted to share everything we know with the broader infosec community sooner rather than later.
— Red Canary (@redcanary) February 19, 2021
Silver Sparrow è stato individuato da Red Canary. La software house Malwarebytes lo ha poi avvistato su circa 30.000 computer distribuiti in 153 paesi a livello globale, concentrati soprattutto in Canada, Francia, Germania, Regno Unito e Stati Uniti. Lecito pensare che il numero complessivo di terminali infettati sia di gran lunga superiore.
Dall’analisi del codice è emerso che fa leva sull’infrastruttura cloud di Amazon Web Services e sulla piattaforma di Akamai per la distribuzione di contenuti. Al momento non è dato a sapere quale sia la finalità: quasi certamente l’esecuzione di un qualche comando una volta raggiunta una diffusione ritenuta sufficiente. Un’ennesima dimostrazione di come, a differenza di quanto talvolta viene sostenuto, nemmeno i dispositivi della mela morsicata siano invulnerabili al rischio malware e di come nonostante le protezioni adottata anche la nuova componente M1 sia potenzialmente esposta.
Aggiornamento (22/02/2021, 15.25): Apple si è mossa al fine di arginare il problema, revocando i certificati per gli account degli sviluppatori sfruttati dai creatori del malware. Questo dovrebbe impedire nuove installazioni e frenare così la diffusione del codice maligno.