Silver Sparrow: Neue Schadsoftware auf fast 30.000 Macs entdeckt

Forscher des Sicherheitsanbieters Red Canary haben eine neue Schadsoftware für Apples Desktopbetriebssystem macOS entdeckt. Wie Ars Technica berichtet, versuchen die Forscher derzeit noch, die Funktionsweise und den Zweck des Silver Sparrow genannten Schädlings zu verstehen, der unbemerkt fast 30.000 Macs infizierte. Unter anderem fehlt der Malware derzeit eine sogenannte Payload – sie führt keinerlei schädliche Aktionen aus.

Bekannt ist dem Bericht zufolge, dass infizierte Macs stündlich einen von den Hintermännern kontrollierten Server kontaktieren, um neue Befehle oder gar Binärdateien abzurufen. Bei keinem der fast 30.000 befallenen Macs konnte jedoch bisher eine Übermittlung von Daten aufgezeichnet werden. Die Forscher gehen deswegen davon aus, dass Silver Sparrow derzeit inaktiv ist und erst seine Arbeit aufnimmt, nachdem eine bisher unbekannte Bedingung erfüllt wurde.

Ungewöhnlich ist den Forschern zufolge auch, dass die Schadsoftware über eine Selbstzerstörungsfunktion verfügt. Sie ist üblicherweise Schadprogrammen vorbehalten, die besonders großen Wert darauf legen, nicht entdeckt zu werden. Obwohl die Forscher inzwischen in der Lage waren, fast 30.000 Infektionen aufzudecken, wurde der Selbstzerstörungsmechanismus kein einziges Mal ausgelöst.

Trotzdem ist davon auszugehen, dass den Hintermännern umfangreiche Ressourcen zur Verfügung stehen. Denn es liegt auch eine Version von Silver Sparrow vor, die nativ auf Apples neuem M1-Prozessor läuft. Sie ist damit erst die zweite Malware, die auch die neuen Apple-Prozessoren ins Visier nimmt.

Eine Analyse durch die Forscher wird unter anderem erschwert, weil Silver Sparrow die JavaScript-API des macOS-Installers nutzt, um Befehle auszuführen. Darüber hinaus setzen die Hintermänner auf eine Befehlsinfrastruktur, die auf Amazon Web Services und das Content Delivery Network von Akamai basiert. Die befallenen Systeme befinden sich zudem in erster Linie in den USA, Kanada, Frankreich und Deutschland. Wie Silver Sparrow verteilt wird, ist indes nicht bekannt.

In einem Blogeintrag stufen die Forscher Silver Sparrow als eine ernsthafte Bedrohung ein. Dafür spreche die Reichweite, die relativ hohe Infektionsrate und auch das operative Vorgehen der Hintermänner.

Apple hat den Forschern zufolge die Entwicklerzertifikate, mit denen die ausführbaren Komponenten von Silver Sparrow signiert sind, zurückgezogen. Ausgeführt zeigen sie derzeit jedoch lediglich die Worte “Hello World” oder “You did it” auf Intel-Macs beziehungsweise M1-Macs an.
Die fast 30.000 infizierten Systeme fand Red Canary in Zusammenarbeit mit Malwarebytes. Die Zahl bezieht sich von daher nur auf Systeme, auf denen eine Sicherheitslösung von Malwarebytes aktiv ist. Der macOS-Sicherheitsexperte Patrick Wardle geht davon aus, dass tatsächlich deutlich mehr Macs bereits Opfer von Silver Sparrow wurden. “Das ist ziemlich weit verbreitet und zeigt einmal mehr, dass macOS-Malware trotz der besten Bemühungen von Apple immer mehr um sich greift und alltäglich wird”, wird der Forscher in dem Bericht zitiert.