Dünya çapında neredeyse 30.000 Mac'te bulunan önceden tespit edilmemiş bir kötü amaçlı yazılım parçası, hala ne yaptığını ve kendi kendini imha etme özelliğinin hangi amaca hizmet ettiğini tam olarak anlamaya çalışan güvenlik çevrelerinde entrika üretiyor.
Virüslü Mac'ler saatte bir kontrol sunucusunu kontrol ederek kötü amaçlı yazılımın çalıştırması gereken yeni komutlar veya yürütmek için ikili dosyalar olup olmadığını kontrol eder. Ancak şimdiye kadar araştırmacılar, virüs bulaşmış 30.000 makinenin herhangi birinde herhangi bir yükün teslim edildiğini gözlemlemedi.
Bu da kötü amaçlı yazılımın nihai amacını bilinmiyor. Son bir yükün olmaması, kötü amaçlı yazılımın bilinmeyen bir koşul karşılandığında devreye girebileceğini gösteriyor.
Ayrıca, kötü amaçlı yazılımın kendini tamamen ortadan kaldıracak bir mekanizma ile birlikte gelmesi de ilginçtir; bu, genellikle yüksek düzeyde gizli operasyonlar için ayrılmış bir özelliktir. Şimdiye kadar, kendi kendini yok etme özelliğinin kullanıldığına dair hiçbir işaret yok, bu da mekanizmanın neden var olduğu sorusunu gündeme getiriyor.
Bu soruların yanı sıra, kötü amaçlı yazılım, Apple'ın Kasım ayında piyasaya sürdüğü M1 çipinde yerel olarak çalışan bir sürüm için dikkat çekicidir, bu da onu yalnızca ikinci bilinen macOS kötü amaçlı yazılım parçası haline getirir.
Kötü amaçlı ikili dosya, komutları yürütmek için macOS Installer JavaScript API'sini kullandığı için daha da gizemlidir. Bu, yükleme paketi içeriğini veya paketin JavaScript komutlarını kullanma şeklini analiz etmeyi zorlaştırır.
Kötü amaçlı yazılım, tespitlerin ABD, İngiltere, Kanada, Fransa ve Almanya'da yoğunlaştığı 153 ülkede bulundu. Amazon Web Hizmetlerini ve Akamai içerik dağıtım ağını kullanması, komut altyapısının güvenilir bir şekilde çalışmasını sağlar.
Ayrıca sunucuların engellenmesini zorlaştırır. Kötü amaçlı yazılımı keşfeden güvenlik firması Red Canary'den araştırmacılar, kötü amaçlı yazılım için Silver Sparrow adını veriyor.
Silver Sparrow, Apple’ın yeni M1 çipinde yerel olarak çalışan kod içeren ikinci kötü amaçlı yazılım parçasıdır. Bu haftanın başlarında bildirilen bir reklam yazılımı örneği ilk oldu. Yerel M1 kodu, yeni platformda x86_64 kodundan daha yüksek hız ve güvenilirlikle çalışır, çünkü eski kodun çalıştırılmadan önce çevrilmesi gerekmez.
Meşru macOS uygulamalarının birçok geliştiricisi, M1 için kodlarını yeniden derleme sürecini hâlâ tamamlamadı. Silver Sparrow’un M1 sürümü, geliştiricilerinin eğrinin ötesinde olduğunu gösteriyor.
Silver Sparrow kurulduktan sonra, yükleyici paketinin indirildiği URL'yi arar, büyük olasılıkla kötü amaçlı yazılım operatörleri hangi dağıtım kanallarının en başarılı olduğunu bilir. Bu bakımdan Silver Sparrow, daha önce görülen macOS reklam yazılımlarına benziyor.
Kötü amaçlı yazılımın nasıl ve nerede dağıtıldığı veya nasıl kurulduğu tam olarak belirsizliğini koruyor. Bununla birlikte, URL kontrolü, kötü amaçlı arama sonuçlarının en az bir dağıtım kanalı olabileceğini ve bu durumda yükleyicilerin muhtemelen yasal uygulamalar gibi görüneceğini öne sürüyor.
Silver Sparrow ile ilgili en etkileyici şeylerden biri, enfekte ettiği Mac'lerin sayısıdır. Red Canary araştırmacıları, Malwarebytes'teki meslektaşları ile birlikte çalıştı ve ikinci grup, 29.139 macOS uç noktasında kurulu Silver Sparrow'u buldu. Bu önemli bir başarıdır.
Bir macOS güvenlik uzmanı olan Patrick Wardle, "Bana göre en dikkate değer şey, neredeyse 30.000 macOS uç noktasında bulunmuş olmasıdır. Bunlar yalnızca MalwareBytes'in görebileceği uç noktalardır, bu nedenle sayı muhtemelen çok daha yüksektir," diyor.
MacOS güvenlik uzmanı Patrick Wardle, İnternet mesajına yazdı. "Bu oldukça yaygındır ancak yine de, Apple'ın en iyi çabalarına rağmen, macOS kötü amaçlı yazılımlarının her zamankinden daha yaygın ve sıradan hale geldiğini gösteriyor."
Red Canary, Mac'lerine virüs bulaşıp buaşmadığını kontrol etmek isteyenler için raporunun sonunda uzlaşma göstergeleri sunuyor.
