Un nouveau malware a été récemment repéré ciblant les appareils MacOS. Il a réussi à se glisser silencieusement dans près de 30 000 systèmes. Le malware baptisé Silver Sparrow, conçu pour fournir une charge utile encore inconnue et doté d'un mécanisme d'autodestruction qui pourrait supprimer toute trace de son existence, a été découvert par des chercheurs en sécurité de Red Canary et analysé avec des chercheurs de Malwarebytes et VMWare Carbon Black. Les professionnels de la cybersécurité se demandent ce que le logiciel malveillant était prêt à faire ensuite. Dans un article de blog publié jeudi dernier, Red Canary a donné plus de détails sur un malware qui n’est qu’à sa toute première détection, notamment sur la façon dont les chercheurs ont découvert plusieurs versions ciblant non seulement Intel, mais aussi des Mac plus récents basés sur la puce M1 d'Apple – ce qui est tout à fait normal, étant donné que les nouveaux ordinateurs M1 d'Apple sont très récents et que peu de vulnérabilités ont été découvertes et corrigées jusqu'à présent.
« Selon les données fournies par Malwarebytes, Silver Sparrow avait infecté 29 139 terminaux MacOS dans 153 pays au 17 février, y compris des volumes élevés de détection aux États-Unis, au Royaume-Uni, au Canada, en France et en Allemagne », a écrit Tony Lambert de Red Canary dans son article publié la semaine dernière.
Mais malgré le nombre élevé d'infections, les détails sur la manière dont le malware a été distribué et les utilisateurs infectés sont encore rares, et il n'est pas clair si Silver Sparrow a été caché dans des publicités malveillantes, des applications piratées ou de fausses mises à jour Flash – les vecteurs de distribution classiques pour la plupart des souches de malware Mac de nos jours.
En outre, l'objectif de ce malware n'est pas clair non plus, et les chercheurs ne savent pas quel est son but final. Une fois par heure, les Macs infectés vérifient un serveur de contrôle pour voir s'il y a de nouvelles commandes que le malware devrait exécuter ou des binaires à exécuter, d’après le rapport de Red Canary. Jusqu'à la rédaction de leur rapport, cependant, les chercheurs n'avaient pas encore observé la livraison d'une quelconque charge utile sur l'une des 30 000 machines infectées, ce qui laisse le but ultime du malware inconnu.
Mais cela ne doit pas être interprété comme un échec de la souche de malware, avertit Red Canary. Il est possible que le malware soit capable de détecter les chercheurs qui analysent son comportement et qu'il évite simplement de livrer ses charges utiles de deuxième étape à ces systèmes. L'absence de charge utile finale laisse également penser que le logiciel malveillant pourrait entrer en action dès qu'une condition inconnue sera remplie.
Il est également curieux que le malware soit doté d'un mécanisme permettant de se supprimer complètement, une capacité généralement réservée aux opérations de haute sécurité. Jusqu'à présent, cependant, rien n'indique que la fonction d'autodestruction ait été utilisée, selon les chercheurs, ce qui soulève la question de savoir pourquoi ce mécanisme existe.
Par ailleurs, c’est heureusement parce que Silver Sparrow n'a pas pu couvrir ses traces avant que les chercheurs aient pu le repérer de façon précoce. Rien n'indique qu'il ait été utilisé pour faire des dégâts, et Red Canary écrit qu'Apple a déjà révoqué les binaires (ce qui devrait théoriquement empêcher les utilisateurs de l'installer eux-mêmes accidentellement). L’utilisation d’Amazon Web Services et du réseau de diffusion de contenu d'Akamai garantit un fonctionnement fiable de l'infrastructure de commande et rend également le blocage des serveurs plus difficile.
Une menace raisonnablement sérieuse et compatible avec la puce M1 d’Apple
Outre certaines questions que les chercheurs n’ont pas encore élucidées, le malware se distingue par une version qui fonctionne en natif sur la puce M1 qu'Apple a introduite en novembre, ce qui en fait le deuxième malware MacOS connu à le faire. Le binaire malveillant est encore plus mystérieux, car il utilise l'API JavaScript de l'installateur de MacOS pour exécuter des commandes, d’après le rapport de Red Canary. Il est donc difficile d'analyser le contenu du paquet d'installation ou la façon dont ce paquet utilise les commandes JavaScript.
Une fois les scripts exécutés, un Mac aura deux nouveaux et méchants fichiers, dont un téléphone au bout duquel se trouvent les auteurs du malware afin de leur signaler son installation, lit-on dans le rapport. L'autre script est piloté par un LaunchAgent persistant qui l'exécute toutes les heures pour se connecter à un serveur et demander plus d'informations à la personne qui contrôle le malware.
Selon Red Canary, cette requête horaire « indique à launchd d'exécuter un script shell qui télécharge un fichier JSON sur le disque, le convertit en un plist et utilise ses propriétés pour déterminer les actions à venir ». Les chercheurs de l'entreprise ont analysé le malware pendant une semaine et n'ont jamais vu cette requête aboutir à un téléchargement, ce qui les a conduits à suggérer que le malware manque actuellement de charge utile.
« Bien que nous n'ayons pas encore observé Silver Sparrow livrer des charges utiles malveillantes supplémentaires, sa compatibilité avec les puces M1, sa portée mondiale, son taux d'infection relativement élevé et sa maturité opérationnelle suggèrent que Silver Sparrow est une menace raisonnablement sérieuse, en position unique pour livrer une charge utile potentiellement impactante à tout moment », a averti Lambert dans son rapport. « Compte tenu de ces motifs d'inquiétude, dans un esprit de transparence, nous avons voulu partager tout ce que nous savons avec l'ensemble du secteur de la science de l'information le plus tôt possible ».
Selon Red Canary, Silver Sparrow existe en deux versions, dont l'une avec un binaire au format Mach-object compilé pour les processeurs Intel x86_64 et l'autre binaire Mach-object pour la puce M1. L'image ci-dessous offre un aperçu de haut niveau des deux versions, selon la société de conseil en sécurité qui a découvert le malware :
On ne sait pas encore exactement comment et où le malware est distribué ni comment il est installé. Mais les chercheurs ont suggéré qu'il utilise les ressources d'AWS et du réseau de distribution de contenu d'Akamai, auquel cas les opérateurs derrière le malware se feraient probablement passer pour des applications légitimes.
Les entreprises, qui ont travaillé sur la découverte du malware, suggèrent que les auteurs de Silver Sparrow semblent donc avoir une bonne compréhension de la façon dont le travail dans le Cloud public et le réseau de diffusion de contenu rend la défense contre les logiciels malveillants plus difficile, car les organisations ont souvent de très bonnes raisons d'accueillir le trafic provenant de grands cloud publics.
« Pour moi, la chose la plus remarquable est qu'il a été trouvé sur près de 30 000 terminaux MacOS... et ce ne sont que les terminaux que MalwareBytes peut voir, donc le nombre est probablement beaucoup plus élevé », a écrit Patrick Wardle, un expert en sécurité MacOS. « C'est assez répandu... et cela montre une fois de plus que les logiciels malveillants MacOS sont de plus en plus envahissants et courants, malgré les efforts d'Apple ».
« Il est inquiétant de voir les logiciels malveillants passer rapidement d'Intel à M1, car les outils de sécurité ne sont pas prêts à y faire face », explique Lambert, qui est analyste du renseignement à Red Canary. « La communauté de la sécurité n'a pas encore de signatures pour détecter ces menaces, car elles n'ont pas été observées ». Lambert ajoute que l'ajout de capacités de détection pour de nouvelles plateformes comme M1 peut être un processus délicat.
« M1 n'a que quelques mois et les fournisseurs de sécurité doivent développer des logiciels avec soin, car ils ne peuvent pas se permettre que des outils endommagent les systèmes des clients », explique Lambert. « Les vendeurs de sécurité prennent souvent un peu de retard jusqu'à ce que leur logiciel ait un dossier acceptable sur les nouveaux changements technologiques ».
Le rapport de Red Canary contient des indicateurs de compromis, tels que les fichiers et les chemins d'accès aux fichiers créés et utilisés par le malware, qui peuvent être utilisés pour détecter les systèmes infectés. Pour l'instant, le logiciel malveillant natif compatible M1 que les chercheurs ont découvert ne semble pas être une menace désespérément dangereuse en soi. Mais l'émergence de ces nouvelles souches est un avertissement qu'il y a plus à venir – et que les outils de détection doivent combler le fossé pour être prêts.
Source : Red Canary
Et vous ?
Que pensez-vous de ce second code malveillant natif pour le silicium M1 d’Apple ? Quel commentaire faites-vous de son mode opératoire ?Voir aussi :
Des chercheurs découvrent une variante du malware X-Agent qui s'attaque aux Mac, il sert de porte dérobée et dispose de plusieurs modules Les Mac équipés d'une puce T2 ou M1 ne peuvent pas être remis à l'état d'usine sans Apple, et ne peuvent plus être pleinement utilisés dans des environnements entièrement hors ligne XAgent : un malware qui dérobe les données personnelles sous iOS découvert par les experts de Trend Micro Apple présente la puce M1 pour alimenter ses nouveaux Mac, la société affirme que le SoC à 8 cœurs offre la meilleure performance par watt au monde