Cuatro días después de que se descubriera el malware dirigido a los chips Apple M1, investigadores identificaron otra pieza de software malicioso denominada Silver Sparrow no detectada previamente y encontrada en aproximadamente 30,000 Macs que ejecutan Intel x86_64 y los procesadores M1 del fabricante del iPhone.

El malware fue descubierto por investigadores de seguridad de Red Canary y analizado junto con investigadores de Malwarebytes y VMWare Carbon Black. De acuerdo con los datos proporcionados por Malwarebytes, Silver Sparrow había infectado 29,139 equipos con macOS en 153 países hasta el 17 de febrero y los volúmenes más altos de detección han sido en los Estados Unidos, el Reino Unido, Canadá, Francia y Alemania.

Esta cepa de malware usa un LaunchAgent para establecer la persistencia y no muestra los comportamientos del adware habitual que tan a menudo se dirige a los sistemas macOS. Lo novedoso de éste es principalmente la forma en que sus paquetes de instalación aprovechan la API de JavaScript del instalador de macOS para la ejecución de comandos sospechosos. Si bien hemos observado que el software legítimo hace esto, esta es la primera vez que se observa en el malware. Esta es una desviación del comportamiento que se suele observar en los instaladores de macOS maliciosos, que generalmente usan scripts de preinstalación o postinstall para ejecutar comandos. 

Los investigadores han descubierto, hasta el momento, dos versiones del malware Silver Sparrow. Además de un cambio en las URL de descarga y los comentarios del script, las dos versiones solo tenían una diferencia importante:

• La primera versión contenía un binario Mach-O compilado solo para la arquitectura Intel x86_64.

• En la segunda versión, se incluyó un binario Mach-O compilado para las arquitecturas Intel x86_64 y M1 ARM64.

Lo anterior es importante, ya que la arquitectura M1 ARM64 es reciente y los investigadores han descubierto muy pocas amenazas para la nueva plataforma.

Además de la carga útil, Silver Sparrow presenta una característica que incluye una verificación de archivos que provoca la eliminación de todos los mecanismos y scripts de persistencia. El motivo de la presencia de esta característica y el objetivo final de la operación siguen siendo una especie de enigma, ya que no hay evidencia de que el malware haya entregado una carga útil maliciosa a los usuarios infectados, esto genera incertidumbre sobre su cronograma de distribución y si la amenaza está en desarrollo activo.

Gracias a su compatibilidad con el chip M1, su alcance global, su tasa de infección relativamente alta y su madurez operativa sugieren que Silver Sparrow es una amenaza razonablemente grave, en una posición única para ofrecer una carga útil potencialmente impactante en cualquier momento.

Cómo detectarlo

Red Canary informa que la forma en la que se puede detectar es la siguiente:

Busque un proceso llamado PlistBuddy que parezca estar ejecutándose junto con una línea de comando que contenga lo siguiente: LaunchAgents y RunAtLoad y true. Esta analítica nos ayuda a encontrar varias familias de malware macOS que establecen la persistencia de LaunchAgent.

Busque un proceso llamado  sqlite3 que parezca estar ejecutándose en conjunto con una
línea de comandos que contiene: LSQuarantine. Esta analítica ayuda a encontrar varias familias de malware macOS que manipulan o buscan metadatos para archivos descargados.

Busque un proceso que parece estar ejecutando curl en conjunto con una línea de comandos que contiene: s3.amazonaws.com. Esta analítica nos ayuda a encontrar varias familias de malware de macOS que utilizan depósitos S3 para la distribución.

Fuentes: 

• https://redcanary.com/blog/clipping-silver-sparrows-wings/
• https://thehackernews.com/2021/02/new-silver-sparrow-malware-infected.html
• https://arstechnica.com/information-technology/2021/02/new-malware-found-on-30000-macs-has-security-pros-stumped/

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración de este documento a:

• Angie Aguilar Domínguez (angie dot aguilar at cert dot unam dot mx)
• Célica Martínez Aponte (celica dot martinez at cert dot unam dot mx)
• Celic Aimee Jiménez Navarro

UNAM-CERT

Equipo de Respuesta a Incidentes

Coordinación de Seguridad de la Información

incidentes at cert.unam.mx

phishing at cert.unam.mx

https://www.cert.org.mx

https://www.cert.unam.mx

Tel: 55 56 22 81 69