Silver Sparrow Malware apunta al nuevo chip M1 de Apple

Firma de ciberseguridad Red Canary Anunciado A principios de este mes, dos de sus ingenieros de detección habían hecho un descubrimiento inusual: "una cepa de malware macOS que usa un LaunchAgent para establecer la persistencia". El malware, denominado Silver Sparrow, no era inusual en sí mismo. Lo que lo hizo así, según Red Canary, fue la forma en que se ejecuta en JavaScript y su capacidad para apuntar a la nueva arquitectura M1 de Apple.

Apple anunció el año pasado el M1 como el primer chip diseñado específicamente por la compañía para computadoras Mac. Actualmente reemplaza a los chips Intel en las computadoras portátiles Macbook y Mac mini. La empresa de ciberseguridad Malwarebytes, que ayudó a Red Canary a analizar el malware, dijo que fue una de las primeras en incluir código nativo para los chips M1.

El alcance del problema

Después del análisis de Malwarebytes y otros, se determinó que Silver Sparrow ha infectado hasta ahora casi 40,000 computadoras Mac en 164 países. Se produjeron altas concentraciones de infecciones en los EE. UU., Canadá, el Reino Unido, Francia y Alemania. Pero los analistas aún no están seguros de cómo se distribuyó el malware. El malware oculto en anuncios maliciosos, aplicaciones pirateadas y actualizadores de Flash falsos son los vectores de ataque más comunes para las variedades de malware de Mac, según informes recientes en Silver Sparrow por ZDNet.

Los analistas tampoco están seguros del propósito del malware Silver Sparrow. La investigación actual solo ha demostrado que se arraiga en los sistemas y luego espera más instrucciones de sus operadores. Pero es la segunda cepa de malware que puede comprometer la nueva arquitectura M1 de Apple. El primero fue descubierto pocos días antes de Silver Sparrow.

La proliferación de malware que puede atacar una arquitectura de chip tan nueva tan rápidamente y en una gran área geográfica tiene a los investigadores preocupados. “Aunque todavía no hemos observado que Silver Sparrow entregue cargas útiles maliciosas adicionales, su compatibilidad con el chip M1 con visión de futuro, su alcance global, su tasa de infección relativamente alta y su madurez operativa sugieren que Silver Sparrow es una amenaza razonablemente grave, en una posición única para ofrecer un impacto potencial carga útil en cualquier momento ”, escribió un analista de Red Canary en el anuncio de detección de la compañía.

Cómo saber si está infectado

Malwarebytes tiene documentado algunos detalles sobre el funcionamiento de Silver Sparrow que podrían ayudar a los usuarios de Mac a saber qué buscar. Los paquetes de instalación de Apple, o archivos .pkg, envían el malware con nombres de archivo que incluyen update.pgk o Updater.pkg. El código JavaScript inicialmente ejecutó un programa que preguntaba a los usuarios si le permitirían determinar si el software podía instalarse.

Silver Sparrow instala un agente de lanzamiento para el usuario actual, que a su vez lanza un script llamado verx.sh cada hora para establecer contacto y recuperar datos de un servidor de comando y control. Los investigadores aún no han encontrado ningún archivo de carga útil entregado por esta descarga. Además del código JavaScript, el archivo .pkg también instala una aplicación llamada "tasker" o "actualizador" en la carpeta Aplicaciones. A partir de ahora, estas aplicaciones solo sirven como marcadores de posición y no llevan a cabo acciones significativas.

Malwarebytes señala que la presencia del archivo ._insu en una computadora probablemente indica una infección previa. Una peculiaridad de Silver Sparrow es que este archivo indica al malware que se elimine a sí mismo. Por lo tanto, es posible que la detección del nuevo malware haya obligado a sus operadores a utilizar este comando de interrupción.

Protección de su Mac

Apple proporciona recomendaciones específicas para proteger su computadora Mac de infecciones de malware. Esto incluye un sistema de control de seguridad llamado Gatekeeper que prohíbe la instalación de aplicaciones excepto a través de la Mac App Store oficial. Apple también recomienda que los usuarios tengan cuidado al trabajar con scripts, archivos web y archivos Java, todos los cuales pueden dañar su computadora.

Apple también requiere que sus desarrolladores de aplicaciones envíen sus productos para revisión. El proceso, llamado "notarización", analiza las aplicaciones en busca de vulnerabilidades de seguridad y contenido malicioso. Si no hay amenazas, Gatekeeper autorizará la instalación y ejecución de la aplicación en una computadora Mac. Pero siempre hay amenazas nuevas o emergentes como Silver Sparrow.

A pesar de los mejores esfuerzos de los fabricantes y usuarios, el malware puede penetrar y dañar su computadora Mac, iPad o iPhone. Las infecciones de malware pueden provocar fugas de datos, corrupción de archivos y pérdida de datos. Secure Data Recovery Services es un proveedor técnico de Macintosh certificado por Apple, y nuestros ingenieros de recuperación de datos han realizado servicios de recuperación exitosos en dispositivos Apple durante más de una década.

Nuestros ingenieros de recuperación de datos tienen soluciones personalizadas para la migración, restauración y conversión de datos, independientemente del tipo de almacenamiento de medios que esté utilizando. Cualquiera que sea el escenario de almacenamiento o pérdida de datos al que se enfrente, Secure Data Recovery Services tiene la solución.

Llámenos al 1-800-388-1266 para abrir un caso de recuperación de datos u obtenga más información sobre nuestros servicios de recuperación para usuarios de Mac. Tú también puedes haga clic aquí para ver cómo funciona nuestro proceso de recuperación.