30000台蘋果電腦遭入侵 包括最新的M1系列!快查自己電腦
蘋果新出的M1系列,正被惡意軟體「盯上」。
現在,一個名為「銀絲雀」(Silver Sparrow)的新型惡意軟體,已經悄悄入侵了全球153個國家的30000台Mac。
傳播之廣、行動之隱蔽,幾乎讓網路安全專家們措手不及。
而且,他們不僅無法掌控「銀絲雀」的傳播途徑,也還不清楚它的最終目的。
換而言之,它不僅隨時可能「自爆」,而且還能在「作案」後,無痕刪除自己。
隨時「自爆」的炸彈
這個名為「銀絲雀」的新型惡意軟體,獨特在什麼地方?
首先,這是個用JavaScript編寫的惡意軟體,這對於MacOS來說非常罕見。
此外,它還特意為M1更新了一版軟體。現在的兩版軟體中,一個針對Intel系列Mac設備,另一個則針對基於M1的、以及舊版的Mac設備。
這個軟體的傳播速率高、覆蓋率廣、M1兼容性強,運行效果也良好,最關鍵的是,目前專家尚未發現它是如何傳播的。
專家發現,「銀絲雀」的基礎設施託管在亞馬遜雲平台(Amazon Web Services s3)上,這是大多數公司都在使用的雲資源。
「銀絲雀」的可怕之處在於,安全研究人員發現,它現在還在蟄伏期(尚未發現其有效載荷)。
目前,解析兩個版本的文件結果,僅是這樣的(略帶惡意):
而且,「銀絲雀」還具有「自毀」程式,可以在事後刪除自己,不留任何痕迹。
這款惡意軟體只是每小時向伺服器發送一條消息,還沒有任何大動作,但是一旦滿足觸發條件,將產生嚴重後果。
如何檢查自己的Mac
截至目前,研究人員還不知道「銀絲雀」使用的是什麼攻擊向量 (attack vector)。
攻擊向量指一種路徑或手段,黑客可以通過它訪問電腦或網路伺服器,以傳遞有效負載或惡意結果。
因此,目前還不清楚「銀絲雀」的攻擊目標是什麼,僅能推測它可能是一款惡意廣告軟體。
不過他們發現,「銀絲雀」會在~/Library/LaunchAgent文件夾下生成agent/verx,後綴為plist的文件。
也就是說,只要看到這些文件,你的電腦就可能被感染了。
那麼,真的就沒有任何防範措施了嗎?
一位HN網友給出了幾點基礎的建議。
首先,保持作業系統、瀏覽器及其他軟體的更新。此外,可以在瀏覽器中安裝uBlock Origin,這是個過濾瀏覽器內容的擴展程式,以及AdGuard Home等廣告攔截器。
其次,安裝一款防火牆,這位網友推薦了Little Snitch,可用於監視應用程式,以阻止或允許它們通過高級規則連接到網路。(某些惡意軟體檢測到Little Snitch時,還會自動刪除)
最後,不要從不明來源安裝軟體。
無獨有偶
「銀絲雀」並非第一款針對M1系列Mac的惡意軟體。
事實上,就在一周前,還有人發現了另一款針對M1的惡意軟體GoSearch22。
這是一個惡意廣告軟體Pirrit的「升級版」,針對M1搭載的ARM64架構,對軟體進行了對應的修改。
GoSearch22能夠持續攻擊Mac設備,且普通用戶難以將其刪除。
它會將自己隱蔽成一個「瀏覽器擴展程式」,從Safari、Chrome等Mac瀏覽器上搜集數據,然後強制展示優惠券、廣告橫幅和惡意彈窗。
研究人員推測,GoSearch22的目的,是從廣告、用戶搜索結果中牟利,此外,也可能在未來開發出更多惡意功能。
目前,蘋果已經撤銷了Pirrit開發商使用的開發者證書。
但這些惡意軟體接二連三地出現,也在逼迫著殺毒引擎進行升級。
殺毒軟體亟待升級
就在上周,專家們利用GoSearch22,對一系列殺毒引擎進行了「測試」。
他們發現,竟然有接近15%的殺毒引擎,沒能檢測出GoSearch22的存在,但基本都能檢測出它的上一個版本Pirrit。
也就是說,已有的殺毒引擎,仍然在針對x86_64平台進行防護,然而對於根據ARM架構編寫的惡意軟體,卻沒有「招架之力」。
意味著,這些針對x86_64平台編寫的病毒分析工具或防病毒引擎,可能無法處理ARM64二進位文件。
因此,能否檢測出這些為ARM架構編寫的惡意軟體(「銀絲雀」、GoSearch22等),已經成為殺毒軟體評判的新標準。
在殺毒軟體與惡意軟體的「博弈」之下,如何進行軟體安全迭代升級?
M1還有很長的路要走。
