هناك قطعة من البرامج الضارة التي لم يتم إكتشافها سابقاً والتي تم العثور عليها على ما يقرب من 30،000 جهاز Mac حول العالم تثير دسوساً في دوائر الأمان ، التي لا تزال تحاول فهم ما تفعله بالضبط والغرض الذي تخدمه قدرتها على التدمير الذاتي.
مرة واحدة في الساعة ، تتحقق أجهزة Mac المصابة من خادم تحكم لمعرفة ما إذا كانت هناك أية أوامر جديدة يجب تشغيل البرامج الضارة أو تنفيذ ثنائيات. ومع ذلك ، لم يلاحظ الباحثون حتى الآن تسليم أي حمولة على أي من الأجهزة المصابة البالغ عددها 30000 ، تاركين الهدف النهائي للبرامج الضارة غير معروف. يشير عدم وجود حمولة نهائية إلى أن البرنامج الضار قد يبدأ في العمل بمجرد إستيفاء حالة غير معروفة
ومن المثير للفضول أيضاً أن البرنامج الضار يأتي مع آلية لإزالة نفسه تماماً ، وهي قدرة مخصصة عادةً لعمليات التخفي العالية. حتى الآن ، على الرغم من ذلك ، لا توجد علامات على استخدام ميزة التدمير الذاتي ، مما يثير التساؤل عن سبب وجود الآلية.
إلى جانب هذه الأسئلة ، فإن البرنامج الضار معروف بإصدار يعمل أصلاً على شريحة M1 التي قدمتها شركة Apple في نوفمبر ، مما يجعلها ثاني جزء معروف من برامج macOS الضارة تقوم بذلك. لا يزال البرنامج الثنائي الخبيث أكثر غموضاً ، لأنه يستخدم واجهة برمجة تطبيقات JavaScript لمثبت macOS لتنفيذ الأوامر. وهذا يجعل من الصعب تحليل محتويات حزمة التثبيت أو الطريقة التي تستخدم بها الحزمة أوامر JavaScript.
تم العثور على البرامج الضارة في 153 دولة مع تركيز عمليات الإكتشاف في الولايات المتحدة والمملكة المتحدة وكندا وفرنسا وألمانيا. يضمن إستخدامه لخدمات Amazon Web Services وشبكة تسليم محتوى Akamai أن تعمل البنية التحتية للأوامر بشكل موثوق ، كما يجعل حظر الخوادم أكثر صعوبة. يقوم باحثون من شركة Red Canary الأمنية التي إكتشفت البرمجيات الخبيثة باستدعاء البرنامج الضار Silver Sparrow.
تهديد خطير بشكل معقول:
"على الرغم من أننا لم نلاحظ أن Silver Sparrow تقدم حمولات ضارة إضافية حتى الآن ، إلا أن توافق شريحة M1 التطلعية ، والوصول العالمي ، ومعدل الإصابة المرتفع نسبياً ، والنضج التشغيلي تشير إلى أن Silver Sparrow تمثل تهديداً خطيراً بشكل معقول.
يأتي Silver Sparrow في نسختين - أحدهما به ثنائي في تنسيق Mach- Object تم تجميعه لمعالجات Intel x86_64 والآخر Mach-O ثنائي لـ M1.
حتى الآن ، لم ير الباحثون أياً من الثنائي يقوم بالكثير من أي شيء ، مما دفع الباحثين للإشارة إليهم على أنهم "ثنائيات متفرجين". الغريب أنه عند تنفيذه ، يعرض ثنائي x86_64 الكلمات "Hello World!" بينما يقرأ الثنائي M1 "لقد فعلت ذلك!" يعتقد الباحثون أن الملفات هي عناصر نائبة لإعطاء المثبت شيئاً لتوزيع المحتوى خارج تنفيذ JavaScript. ألغت شركة Apple شهادة المطور لكل من الملفات الثنائية الموجودة في المتفرج.
Silver Sparrow هو الجزء الثاني فقط من البرامج الضارة التي تحتوي على رمز يتم تشغيله محلياً على شريحة M1 الجديدة من Apple. كانت عينة البرامج الإعلانية التي تم الإبلاغ عنها في وقت سابق من هذا الأسبوع هي الأولى. يعمل كود M1 الأصلي بسرعة وموثوقية أكبر على النظام الأساسي الجديد مما يفعله كود x86_64 لأنه لا يلزم ترجمة الأول قبل تنفيذه. لا يزال العديد من مطوري تطبيقات macOS الشرعية لم يكملوا عملية إعادة ترجمة التعليمات البرمجية الخاصة بهم إلى M1. تشير نسخة Silver Sparrow's M1 إلى أن مطوريها يتقدمون على المنحنى.
بمجرد التثبيته يبحث عن عنوان URL الذي تم تنزيل حزمة المثبت منه ، وعلى الأرجح سيعرف مشغلو البرامج الضارة قنوات التوزيع الأكثر نجاحاً. في هذا الصدد ، يشبه Silver Sparrow ادواري macOS التي سبق رؤيتها. يبقى من غير الواضح على وجه التحديد كيف أو مكان توزيع البرامج الضارة أو كيفية تثبيتها. ومع ذلك ، يشير التحقق من عنوان URL إلى أن نتائج البحث الضارة قد تكون قناة توزيع واحدة على الأقل ، وفي هذه الحالة ، من المحتمل أن تظهر أدوات التثبيت كتطبيقات شرعية.
ومن بين الأشياء الأكثر إثارة للإعجاب في Silver Sparrow هو عدد أجهزة Mac التي أصيبت بها. عمل باحثو Red Canary مع نظرائهم في Malwarebytes ، حيث عثرت المجموعة الأخيرة على Silver Sparrow مثبتاًعلى 29139 نقطة نهاية macOS.
برامج الضارة لنظام التشغيل macOS أصبحت أكثر إنتشاراً وشائعة ، على الرغم من الجهود الجبارة التي تبذلها شركة Apple.
