Descoberto novo malware para Mac que já infectou 30000 computadores

O problema é que ninguém sabe para que serve nem o que faz este malware.
Foto Sigmund - Unsplash

Foi descoberto recentemente um novo malware para computadores Macintosh, que já infectou cerca de 30000 computadores em todo o mundo. Este malware está despertar muita curiosidade na comunidade de especialistas em cibersegurança, porque ainda não foi descoberto seu propósito, nem o que faz. Uma das poucas coisas que se sabe é que tem um mecanismo de autodestruição.

Uma vez por hora, os computadores Mac infectados verificam a existência de comandos ou programas a executar num servidor. No entanto, até agora, ainda não foi observada a entrega de quaisquer comandos ou programas em nenhum dos 30000 computadores infectados, o que faz com que o objectivo deste malware seja ainda desconhecido. A falta destes comandos indicia que o malware só será activado quando uma condição desconhecida for satisfeita.

Outra curiosidade acerca deste malware, é a inclusão de um mecanismo de autodestruição, que servirá para limpar qualquer traço da sua existência nas máquinas infectadas. Este tipo de mecanismos é utilizado em operações em que a descrição é importante. Mas também, neste caso, ainda não foi observado qualquer caso em que este mecanismo tenha sido utilizado.

Este é o segundo malware a poder ser executado nativamente no novo processador M1, que a Apple lançou em Novembro do ano passado. Para adensar ainda mais este mistério, o novo malware utiliza a API JavaScript do instalador do macOS para executar quaisquer comandos que receba. Isto dificulta a análise dos ficheiros de instalação, ou a forma que como utilizada os comandos Javascript.

Este malware foi encontrado em 153 países, mas com mais incidência nos Estados Unidos, Reino Unido, Canadá, France e Alemanha. Utiliza as redes de distribuição Amazon Web Services e Akamai para tornar a sua infra-estrutura mais fiável e dificultar o bloqueio dos servidores que utiliza. O novo malware foi baptizado ‘Silver Sparrow’ pela equipa da Red Canary, a empresa de segurança que o detectou pela primeira vez. 

Num artigo publicado na sexta-feira, os especialistas da Red Canary dizem: “Apesar de não termos observado a entrega de ficheiros maliciosos pelo Silver Sparrow, o facto de ser compatível com o chip M1, o seu alcance global, a alta taxa de infecção e maturidade operacional sugerem que o Silver Sparrow é uma ameaça razoavelmente perigosa que está bem posicionada para causar estragos muito rapidamente. Devido a tudo isto e no espírito da transparência, resolvemos divulgar toda a informação com a comunidade de cibersegurança de todo o mundo.”

O Silver Sparrow existe em duas versões: uma compilada para funcionar em computadores com processadores x86 e outra para funcionar em máquinas com processadores M1.

Até agora, nenhum especialista em segurança conseguiu ver qualquer uma destas versões fazerem qualquer coisa, o que os leva a apelidá-las de “programas espectadores”. Quando a versão para x86 é executada é mostrada a frase “Hello World”, quando a versão M1 é executada aparecem as palavras “You did it!”. Os especialistas em seguranças acreditam que estes ficheiros são apenas exemplos para darem ao instalador qualquer coisa a instalar fora do sistema de execução de JavScript. Entretanto, a Apple já revogou o certificado de desenvolvimento de ambos os programas.

O Silver Sparrow é o segundo malware a conter código que pode ser executado nativamente no chip M1 da Apple. O primeiro foi um adware que foi detectado muito recentemente. Num computador Mac com chip M1, o código nativo para este chip funciona mais rapidamente e é mais fiável do que código equivalente para processadores X86, que tem de ser traduzido para o conjunto de instruções do M1 antes de poder ser executado. Muitos programadores ainda não transportaram os seus programas para o novo chip.

Depois de instalado, o Silver Sparrow procura o URL de onde o programa de instalação foi descarregado, para que quem está por trás deste malware consiga saber quais são os canais de distribuição mais eficazes. Não se sabe ainda de onde é que este malware vem, nem como é instalado. No entanto, a verificação do URL sugere que um das formas será a partir de resultados de buscas em que o malware está disfarçado de aplicações legítimas.

Uma das coisas mais impressionantes acerca do Silver Sparrow é o número de computadores que já infectou. A Red Canary trabalhou em conjunto com a Malwarebytes e descobriram que este malware já está presente em 29139 computadores desde o final da semana passada

Quem quiser saber se o seu computador está infectado com o Silver Sparrow poderá ver algumas dicas em como o descobrir no final do artigo publicado pela Red Canary.