Silver Sparrow : ce malware infecte 30 000 Mac dans le monde

Le nouveau malware Silver Sparrow  infecte environ 30 000 Mac, dans 153 pays, avec une partie de l'activité concentrée dans certains pays, notamment la France.

La semaine dernière, je vous parlais des nouveaux malwares qui ciblaient les nouveaux MacBook équipés du processeur Apple M1. Les Mac sous architecture x86 avec un processeur Intel ne sont pas épargnés non plus, la preuve avec cette nouvelle annonce et ce malware qui s'attaque aux deux mondes.

Les chercheurs en cybersécurité de Red Canary ont baptisé ce malware "Silver Sparrow" et ils ont pu identifier deux versions différentes de ce malware :

  • Une première version compilée seulement pour l'architecture x86 d'Intel. Elle est apparue sur VirusTotal le 31 août 2020
  • Une seconde version compilée à la fois pour les architectures x86 et ARM64 dans le but de cibler aussi les Mac avec la puce M1 d'Apple. Elle est apparue la première fois le 22 janvier 2021 sur VirusTotal

Néanmoins, l'objectif de ce malware reste flou à ce jour : la charge s'est pas encore clairement manifestée sur les machines infectées. Lorsqu'il est exécuté, il affiche un message "Hello, World!" ou "You did it!" en fonction de l'architecture de la machine infectée.

Silver Sparrow

Ce qui est certain, c'est que les deux versions fonctionnent de la même façon. Le malware s'appuie sur macOS Installer pour exécuter du code JavaScript qui donne lieu à deux scripts déposés sur la machine infectée. D'une part, le script "agent.sh" qui se connecte à un serveur C2 (Command and Control) chez AWS. D'autre part, le script "verx.sh" qui s'exécute toutes les heures pour se connecter au serveur C2 et récupérer du contenu à exécuter.

D'après les chercheurs en sécurité, le malware Silver Sparrow serait capable de s'autodétruire sur les machines sur lesquelles il est déployé : de quoi le rendre furtif.

En date du 17 février 2021, il y au moins 29 139 Mac infectés par ce malware, le tout réparti dans 153 pays. D'après les données de Malwarebytes, il y a des pays où la concentration d'appareils infectés est plus forte : France, Canada, Allemagne, Grande-Bretagne et les États-Unis.

Pour empêcher de nouvelles installations, Apple a révoqué les deux certificats de développeurs associés aux deux versions de Silver Sparrow.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3219 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.