恶意软件盯上苹果,波及全球30000台Mac,最新版M1系列也中招
作者 | 刘琳
苹果电脑用户请注意,你的电脑可能被恶意软件盯上了,包括最新版 M1 系列。
截止 2 月 17 日,全球 153 个国家的 30000 台电脑已经被这种恶意软件入侵了。
但更可怕的还在后面。
根据安全研究人员的描述,这个恶意软件每隔一小时运行一次,且带有自毁功能。
目前还不清楚它在侵入用户的 Mac 后,会获取哪些隐私信息,也还没有出现用户被劫持的反馈,当然,研究人员仍在试图了解它的确切作用,以及其自毁功能的目的。
1
新型恶意软件是什么?
那么,这个新型恶意软件究竟是什么呢?
根据安全研究人员的介绍,安全人员将其命名为“Silver Sparrow”(银麻雀)。该恶意软件可利用 macOS Installer JavaScript API 执行可疑命令。
除此之外,Silver Sparrow 恶意软件还可以在 Apple 的 M1 芯片上本地运行。
基于此,研究人员调查发现了银雀恶意软件的两个版本:即 Intel 系列 Mac 设备和基于M1的、以及旧版的 Mac 设备。
行为分析显示,每隔一小时,受感染的 Mac 就会检查一个控制服务器,看看是否有新的恶意软件应该运行的命令或要执行的二进制文件。
然而,到目前为止,研究人员还未发这种恶意软件究竟是如何传播的。
更可怕的是,该恶意软件自带自毁功能,且在完成攻击之后,还可让自己不留痕迹。
不过到目前为止,还没有任何迹象表明自毁功能已经被使用。
但是一旦满足未知的条件,恶意软件可能就会开始行动,后果怎样,我们也无从得知。
对此,研究人员也表示了担忧:
虽然我们还没有观察到银雀提供额外的恶意有效载荷,但其前瞻性的M1芯片兼容性、全球覆盖范围、相对较高的感染率和操作成熟度表明,银雀是一个相当严重的威胁,其独特的定位是在一瞬间提供潜在的影响性有效载荷。
2
如何发现和阻止?
那么,我们如何发现可能被这种恶意软件攻击了呢?有什么有效的办法吗?
根据安全研究人员的调查,因为这种恶意软件的攻击路径并不明晰,所以目前研究人员仅能明确的是这是一种恶意广告软件。
不过,研究人员发现,该恶意软件可能会在~/Library/LaunchAgent 文件夹下生成 agent/verx,后缀为 plist 的文件。
简言之,一旦发现你的电脑中出现了这样的文件后缀,很可能你就被恶意软件盯上了。
至于解决办法,还是我们经常说的:
安装防火墙。 不要点击来源不明的链接或者文件。
但最好的解决办法还要等安全研究人员的进一步调查。
3
恶意软件盯上苹果
需要注意的是这是苹果近期发现的第二个恶意软件攻击。
2 月 18 日,安全研究人员发现了首个针对 M1 芯片编写的恶意软件 GoSearch22。
这个恶意软件采用的是常规的广告弹窗拓展,在浏览器中会收集手机用户数据,并且弹出大量广告等窗口。
需要注意的是,X86 版 Mac 的杀毒软件,可以轻易地识别出来 Gosearch22 这个恶意软件,最新版 M1版的苹果电脑却检测不到。
除此之外,苹果最新版的 M1 版本也出现了一些其他问题。
据外媒 MacRumors 报道,他们获得了一份内部备忘录,显示苹果已经通知服务商有关于可能导致 M1 Mac mini 屏幕上出现 “粉红色正方形或像素点”的问题。
苹果没有承诺在何时修复该问题,但苹果提供了一些检查方法帮助用户排查问题。
据悉,该备忘录于 2 月 19 日发布,即 macOS Big Sur 11.2.1 发行一周后,但该版本 macOS 似乎未解决该问题,macOS Big Sur 11.3 自 2 月 2 日以来一直处于 beta 测试中,预计可能在晚些时候发布。
雷锋网也了解到,自去年 11 月份发布 M1 Mac mini 以来,Apple 支持社区、Reddit 等论坛大量用户都反馈了这个问题,但目前导致该问题出现的确切原因尚不清楚。
由此看来,M1还有很多问题需要解决。
参考资料:
https://arstechnica.com/information-technology/2021/02/new-malware-found-on-30000-macs-has-security-pros-stumped/
https://redcanary.com/blog/clipping-silver-sparrows-wings/
https://www.toutiao.com/a6930852938961273347/
https://www.theregister.com/2021/02/22/silver_sparrow_malware_for_apple_m1_silicon/
https://arstechnica.com/gadgets/2021/02/apple-m1-native-malware-has-already-begun-to-appear/
往期推荐