Silver Sparrow: Mysteriöse Malware auf über 29.000 Macs entdeckt

Die für Intel- und ARM-Macs ausgelegte Software hat eine Selbstzerstörungsfunktion und kontaktiert regelmäßig Befehlsserver, tut aber bislang nichts.

In Pocket speichern vorlesen Druckansicht 180 Kommentare lesen

(Bild: Nanain/Shutterstock.com)

Update
Lesezeit: 3 Min.
Von
  • Leo Becker

Sicherheitsforscher haben eine neue Malware entdeckt, die sich bereits auf Macs eingenistet hat. Sie tut bislang allerdings nichts, außer auf weitere Befehle zu warten. Der Silver Sparrow genannte Schädling kommt als Installationspaket auf Macs und muss vom Nutzer offensichtlich erst installiert werden. Es gibt sowohl ein "updater.pkg", das auf Intel-Macs ausgelegt ist als auch ein update.pkg, das ein für Intel- ebenso wie ARM-Macs angepasstes Programm im Standard-Binärformat Mach-O ausliefert, wie die Sicherheitsfirma Red Canary erläutert.

Das Programm sei aber nicht mehr als ein "Zuschauer", heißt es in der Analyse der Sicherheitsfirma. Wird es geöffnet, zeigt es entweder lediglich "Hello, World!" oder "You did it!" an. Die Malware nutze die Installer-JavaScript-Schnittstelle von macOS, um Shell-Skripte auszuführen und sich als LaunchAgent dauerhaft auf dem System einzunisten. Silver Sparrow kontaktiere stündlich einen Befehlsserver, um zusätzliche Inhalte zu laden und auszuführen. Man habe das Tool über eine Woche beobachtet, dabei sei allerdings keine Payload nachgeladen worden, weshalb das Ziel der Malware ein Rätsel bleibe, so die Sicherheitsforscher.

Das AV-Tool Malwarebytes konnte bis Mitte Februar auf über 29.000 Macs eine Infektion mit Silver Sparrow feststellen, besonders häufig sei die Malware auf Macs in USA, Großbritannien, Kanada, Frankreich und Deutschland installiert gewesen.

Unklar ist, wie das Installationspaket ausgeliefert wird. Die Sicherheitsforscher vermuten, dass es über verschiedene Kanäle vertrieben wird und sich als legitime Mac-Software tarnt, die etwa über manipulierte Werbebanner oder Suchergebnisse auf Macs zum Download angeboten wird. Apple hat die von den Installationspaketen zur Signierung verwendeten Entwickler-Zertifikate inzwischen offenbar zurückgezogen.

Ungewöhnlich für eine derart häufig in freier Wildbahn anzutreffende Malware ist, dass diese eine Selbstzerstörungsroutine aufweist, mit der sie möglichst spurlos wieder von einem infizierten Mac verschwinden soll. Auch diese sei bislang offenbar nicht gezündet worden, so die Sicherheitsforscher. Derartige Techniken nutzt sonst eher Malware, die gezielt gegen einzelne Personen eingesetzt wird.

[Update 22.2.2021 18:20 Uhr] Auf einem infizierten Mac können sich folgende Dateien finden, die als "Indikatoren für eine Kompromittierung" gelten, wie die Sicherheitsforscher schreiben:

/tmp/agent.sh

/tmp/version.json

/tmp/version.plist

~/Library/._insu

[Update_2 23.3.2021 17 Uhr] Wie man eine Infektion mit Silver Sparrow auf Macs erkennen und die Malware entfernen kann.

(lbe)