2月21日消息 外媒 MacRumors 報道，安全公司 Red Canary 發(fā)現(xiàn)了第二個已知的惡意軟件 “Silver Sparrow”(銀雀)，它被編譯成原生運行在 M1 Mac 上。

鑒于 “Silver Sparrow”這個名字，據(jù)說這個惡意包利用 macOS Installer JavaScript API 執(zhí)行可疑的命令。不過，在觀察該惡意軟件一周多之后，Red Canary 及其研究伙伴都沒有觀察到最終的有效數(shù)據(jù)，因此該惡意軟件所帶來的具體威脅仍然是個謎。

盡管如此，Red Canary 表示，該惡意軟件可能是 “一個相當嚴重的威脅”。

“雖然我們還沒有觀察到 Silver Sparrow 提供更多的惡意有效數(shù)據(jù)，但其前瞻性的 M1 芯片兼容性、全球覆蓋范圍、相對較高的感染率和操作成熟度表明，Silver Sparrow 是一個相當嚴重的威脅，其獨特的定位可以在一瞬間提供潛在的有影響的有效威脅。”

IT之家獲悉，根據(jù) Malwarebytes 提供的數(shù)據(jù)，截至 2 月 17 日，Silver Sparrow 已經(jīng)感染了 153 個國家和地區(qū)的 29139 個 macOS 系統(tǒng)，其中包括 “美國、英國、加拿大、法國和德國的大量檢測”。Red Canary 沒有說明其中有多少系統(tǒng)是運行在 M1 Mac 設備上。

鑒于 Silver Sparrow 二進制文件 “似乎還沒有那么大的作用”，Red Canary 將其稱為 “旁觀者二進制文件 "”。當在基于英特爾的 Mac 上執(zhí)行時，惡意包只是顯示了一個帶有 “Hello, World!”信息的空白窗口，而蘋果 silicon 二進制文件則會導致一個紅色窗口出現(xiàn)，上面寫著 “You did it!”。

Red Canary 分享了檢測一系列 macOS 威脅的方法，但這些步驟并不是專門針對檢測 Silver Sparrow 的。

尋找一個似乎是 PlistBuddy 的進程，與包含以下內(nèi)容的命令行一起執(zhí)行：aunchAgents and RunAtLoad and true. 這個分析可以幫助我們找到多個 macOS 惡意軟件家族建立 LaunchAgent 的持久性。

尋找一個似乎是 sqlite3 的進程，該進程與以下命令行一起執(zhí)行。LSQuarantine. 這個分析可以幫助我們找到多個 macOS 惡意軟件系列，操縱或搜索下載文件的元數(shù)據(jù)。

尋找一個似乎是 curl 執(zhí)行進程，該進程的命令行包含：s3.amazonaws.com. 這個分析可以幫助我們找到多個使用 S3 buckets 進行分發(fā)的 macOS 惡意軟件家族。

第一款能夠在 M1 Mac 上原生運行的惡意軟件在幾天前才被發(fā)現(xiàn)。現(xiàn)在跡象表明，越來越多的惡意軟件開始盯上蘋果 M1 Mac 設備。

關(guān)鍵詞： 蘋果M1 Mac 惡意軟件