蘋果新出的M1系列,正被惡意軟體“盯上”,
現在,一個名為“銀絲雀”(Silver Sparrow)的新型惡意軟體,已經悄悄入侵了全球153個國家的30000臺Mac,
傳播之廣、行動之隱蔽,幾乎讓網路安全專家們措手不及,
而且,他們不僅無法掌控“銀絲雀”的傳播途徑,也還不清楚它的最終目的。
換而言之,它不僅隨時可能“自爆”,而且還能在“作案”后,無痕刪除自己,
隨時“自爆”的炸彈
這個名為“銀絲雀”的新型惡意軟體,獨特在什么地方?
首先,這是個用JavaScript編寫的惡意軟體,這對于MacOS來說非常罕見。
此外,它還特意為M1更新了一版軟體,現在的兩版軟體中,一個針對Intel系列Mac設備,另一個則針對基于M1的、以及舊版的Mac設備,
這個軟體的傳播速率高、覆蓋率廣、M1兼容性強,運行效果也良好,最關鍵的是,目前專家尚未發現它是如何傳播的。
專家發現,“銀絲雀”的基礎設施托管在亞馬遜云平臺(Amazon Web Services s3)上,這是大多數公司都在使用的云資源,
“銀絲雀”的可怕之處在于,安全研究人員發現,它現在還在蟄伏期(尚未發現其有效載荷),
目前,解析兩個版本的文件結果,僅是這樣的(略帶惡意):
而且,“銀絲雀”還具有“自毀”程式,可以在事后刪除自己,不留任何痕跡。
這款惡意軟體只是每小時向服務器發送一條消息,還沒有任何大動作,但是一旦滿足觸發條件,將產生嚴重后果。
如何檢查自己的Mac
截至目前,研究人員還不知道“銀絲雀”使用的是什么攻擊向量 (attack vector),
攻擊向量指一種路徑或手段,黑客可以通過它訪問計算機或網路服務器,以傳遞有效負載或惡意結果,
因此,目前還不清楚“銀絲雀”的攻擊目標是什么,僅能推測它可能是一款惡意廣告軟體,
不過他們發現,“銀絲雀”會在~/Library/LaunchAgent文件夾下生成agent/verx,后綴為plist的文件,
也就是說,只要看到這些文件,你的電腦就可能被感染了。
那么,真的就沒有任何防范措施了嗎?
一位HN網友給出了幾點基礎的建議,
首先,保持操作系統、瀏覽器及其他軟體的更新。此外,可以在瀏覽器中安裝uBlock Origin,這是個過濾瀏覽器內容的擴展程式,以及AdGuard Home等廣告攔截器,
其次,安裝一款防火墻,這位網友推薦了Little Snitch,可用于監視應用程式,以阻止或允許它們通過高級規則連接到網路。(某些惡意軟體檢測到Little Snitch時,還會自動刪除)
最后,不要從不明來源安裝軟體。
無獨有偶
“銀絲雀”并非第一款針對M1系列Mac的惡意軟體,
事實上,就在一周前,還有人發現了另一款針對M1的惡意軟體GoSearch22,
這是一個惡意廣告軟體Pirrit的“升級版”,針對M1搭載的ARM64架構,對軟體進行了對應的修改,
GoSearch22能夠持續攻擊Mac設備,且普通用戶難以將其刪除,
它會將自己隱蔽成一個“瀏覽器擴展程式”,從Safari、Chrome等Mac瀏覽器上搜集數據,然后強制展示優惠券、廣告橫幅和惡意彈窗,
研究人員推測,GoSearch22的目的,是從廣告、用戶搜索結果中牟利,此外,也可能在未來開發出更多惡意功能,
目前,蘋果已經撤銷了Pirrit開發商使用的開發者證書,
但這些惡意軟體接二連三地出現,也在逼迫著殺毒引擎進行升級,
殺毒軟體亟待升級
就在上周,專家們利用GoSearch22,對一系列殺毒引擎進行了“測試”,
他們發現,竟然有接近15%的殺毒引擎,沒能檢測出GoSearch22的存在,但基本都能檢測出它的上一個版本Pirrit。
也就是說,已有的殺毒引擎,仍然在針對x86_64平臺進行防護,然而對于根據ARM架構編寫的惡意軟體,卻沒有“招架之力”。
意味著,這些針對x86_64平臺編寫的病毒分析工具或防病毒引擎,可能無法處理ARM64二進制文件。
因此,能否檢測出這些為ARM架構編寫的惡意軟體(“銀絲雀”、GoSearch22等),已經成為殺毒軟體評判的新標準。
在殺毒軟體與惡意軟體的“博弈”之下,如何進行軟體安全迭代升級?
M1還有很長的路要走,
