Недавно представленная платформа M1, над которой специалисты Apple работали несколько лет, была атакована вредоносным ПО Silber Sparrow. При этом исследователям не удалось сразу обнаружить каналы распространения нового вируса, который активно использует возможности новой платформы. Сегодня мы хотим сообщить о том, что Acronis тоже работает напрямую с архитектурой M1 и может обеспечить защиту в том числе от нового вида угроз. Подробности под катом.
В конце февраля 2021 года информационные агентства сообщили о том, что системы Mac были атакованы Silver Sparrow. Вредоносное ПО успешно проникло на 30 тысяч систем, по данным Red Canary, заразив компьютеры в 153 странах. Больше всего зараженных пришлось на США, Великобританию, Канаду, Францию и Германию. Позже появились данные, что количество атакованных выросло почти до 40 тысяч.
Но что самое интересное, несмотря на большое количество жертв, специалистам не удалось сразу определить ни тип вредоносного ПО (собственно, что оно делает), ни способы распространения. В отчетах было сообщено о возможности Silver Sparrow прятаться в пиратских приложениях, вредоносных объявлениях или в фальшивых обновлениях Flash.
Однако самое интересное, что Silver Sparrow способен атаковать системы macOS, работающие на базе новейшей архитектуре Apple M1, что является редкостью для вредоносного ПО и еще раз подтверждает хорошую подготовку со стороны киберпреступников, ведь это всего второй образец вируса, замеченного на платформе M1.
Показательным в данном случае является обширный охват заражения, как с точки зрения количества систем, так и географии. А учитывая, что выжидающий характер «воробья» позволяет загрузить на зараженую машину практически все что угодно, он представляет собой серьезную угрозу и опасный прецедент для M1.
Заражение
Попав на Mac, Silver Sparrow заражает систему и ждет новых команд от операторов. На момент публикации отчета исследователи так и не перехватили ни одной инструкции, но, как отмечают сами специалисты, возможно это связано с «умным» поведением «воробья». Возможно, вредоносное ПО детектирует свое обнаружение и прекращает активность, чтобы скрыть цели своего присутствия на машине.
Изначально ПО выглядит как стандартный пакет Apple с названием update.pkg или updater.pkg. Внутри находится вредоносный код JavaScript, который устанавливает агента для текущего пользователя и запускает скрипт verx.sh каждый час. Этот скрпит обращается к серверу C&C, который впервые был замечен на хостинге Amazon AWS. В ответ он получает примерно следующие данные:
{
"version": 2,
"label": "verx",
"args": "upbuchupsf",
"dls": 4320,
"run": true,
"loc": "~/Library/._insu",
"downloadUrl": ""
}
После этого вредоносное ПО проверяет наличие файла ~/Library/._insu, который на момент публикации отчета всегда был пустым, и пытается загрузить новую версию самого себя (если таковая имеется) по ссылке из параметра downloadUrl. Пока что этот параметр тоже всегда был пустым. Для загрузки дополнительных компонентов предусмотрена папка /tmp/verx, но в ней пока не было обнаружено ни одного реального примера вредоносного ПО. Тем не менее, если вредоносная загрузка произойдет, она будет запущена с параметрами args в качестве аргументов.
Помимо выполнения кода JavaScript файл .pkg также устанавливает приложение в папку Applications под названием “tasker” или “updater” (зависит от версии .pkg). Оба этих приложения ничего не делают, просто обозначая свое наличие.
Мы в Acronis уже готовы
Тем не менее, мы не только готовы обеспечить защиту от Silver Sparrow. Acronis обеспечивает комплексную киберзащиту для компьютеров Mac на базе чипа M1. И это очень важно, ведь опасность скрытого заражения ставит под угрозу всю экосистему защиты – если вы не знаете, что ваши резервные копии тоже были повреждены, насколько много файлов и данных будет потеряно, если такой «воробей» загрузит действительно вредоносный компонент? Особенное, если это будет Ransomare – самая популярная угроза текущего года по данным Acronis Cyberthreat Report 2020.
Адаптация вредоносного ПО к новой платформе, которая по заявлениям Apple “до 3,5 раз быстрее по производительности ЦП, до 6 раз быстрее по производительности ГП и в 15 раз быстрее решает задачи машинного обучения», создает дополнительные возможности, чтобы спрятаться среди системных процессов и использовать функции платформы для своей маскировки.
Однако Acronis True Image также работает в нативном окружении Apple и не требует наличия эмулятора Rosetta. Создание резервных копий происходит согласно заданому плану, а в случае обнаружения активности вредоносного ПО система автоматически восстанавливает поврежденные файлы. Учитывая, что угрозы для Apple M1 уже стали реальностью, такой функционал оказывается очень полезен для пользователей новых, быстрых компьютеров.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
А вы сталкивались с вредоносным ПО на MAC?
-
100,0%Нет10
-
0,0%Да, но мои данные не пострадали0
-
0,0%Да, и ущерб был ощутимым0
