Geheimnisvolle Malware befällt Tausende von Macs – Absichten der Angreifer sind noch unklar
Vor einigen Tagen tauchte die erste Malware auf, welche ausdrücklich auch M1-Macs im Visier hat. Dabei handelte es sich um eine gleichermaßen für Intel-Macs und Computer mit Apple Silicon kompilierte Variante eines seit Jahren unter dem Namen Pirrit bekannten Schädlings. Jetzt wurde eine weitere Schadsoftware entdeckt, die ebenfalls MacBook Air M1, MacBook Pro M1 und Mac mini M1 befallen kann und sich bereits in mehr als hundert Ländern verbreitet hat.
"Silver Sparrow" weist einige Besonderheiten aufDer von Sicherheitsforschern des Unternehmens
Red Canary auf den Namen "Silver Sparrow" getaufte Schädling weist einige Besonderheiten auf, die ihn unter Umständen sehr gefährlich machen können. Ist die als "updater.pkg" für Intel-Macs und "update.pkg" (Universal Binary) verteilte Malware auf den Mac gelangt, richtet sie zunächst keinen Schaden an, da sie keinen böswilligen Code enthält. Allerdings kontaktiert sie in regelmäßigen Abständen einen bestimmten Server, von welchem dann zu einem späteren Zeitpunkt die eigentliche Payload ausgeliefert wird. Hierzu bedient sich "Silver Sparrow" der JavaScript-API von macOS, installiert sich als LaunchAgent auf dem System und führt diverse Shell-Scripte aus. Ein derartiges Verhalten wurde bei Schadsoftware auf Macs bislang nicht beobachtet, so die Experten von Red Canary.
Selbstzerstörungsroutine im Code enthaltenDarüber hinaus enthält "Silver Sparrow" einen Selbstzerstörungsmechanismus, der die Schadsoftware rückstandslos aus dem System entfernt. Eine solche Routine, die sich unter anderem vom kontaktierten Server starten lässt, kommt bei Malware nur äußerst selten zum Einsatz. Völlig unbekannt ist schließlich, welche Ziele die Entwickler des Schädlings verfolgen. Bislang haben die in freier Wildbahn aufgespürten Versionen noch keinen Schadcode nachgeladen, sodass diverse Arten von Angriffen denkbar erscheinen. Möglich sind beispielsweise das Einschleusen von Verschlüsselungstrojanern oder Keyloggern sowie das Abschnorcheln von Zugangsdaten etwa für Bankkonten.
Weltweit rund 30.000 Macs infiziertDer Statistik von MalwareBytes zufolge hatte "Silver Sparrow" Mitte Februar weltweit bereits rund 30.000 Macs infiziert. Vornehmlich betroffen waren Computer in den Vereinigten Staaten, Kanada, Frankreich und Deutschland sowie im Vereinigten Königreich. Wie die Malware auf die Rechner gelangt, ist derzeit unbekannt. Die Sicherheitsforscher von Red Canary vermuten, dass sie als reguläre Mac-Software außerhalb des Mac App Stores beworben wird. Die Installationspakete waren offenbar signiert, Apple hat die entsprechenden Entwickler-Zertifikate mittlerweile wohl widerrufen.