Sicherheitsfirma: Mysteriöser Mac-Trojaner "Silver Sparrow" wohl Adware
Die Malware, die auf ĂĽber 40.000 Macs installiert wurde, steht nach Analyse eines AV-Herstellers im Zusammenhang mit Adware-Kampagnen.
Bei dem Mac-Schädling "Silver Sparrow" handelt es sich wohl schlicht um Adware: Die Software stehe aller Wahrscheinlichkeit nach im Zusammenhang mit Adware und gängigen Pay-per-Install-Schemes, bei denen ein Anbieter für die Installation ungewollter Software zahlt, wie die Sicherheitsfirma Eset Research nach eigener Analyse berichtet. Das Tool sei "weit entfernt" von den Spekulationen, es handele sich um Malware staatlicher Organisationen.
Silver Sparrow ohne Schadroutine
Eset hat Silver Sparrow nach eigenen Angaben zuerst im vergangenen September in freier Wildbahn gesehen und rund "50 Instanzen" beobachtet, die sich rund um den Globus verbreiteten. Auch Eset konnte dabei nie die Auslieferung einer Payload beobachten. Silver Sparrow kontaktiert nach der Installation durch den Nutzer zwar regelmäßig einen Kontrollserver, es wird aber nichts nachgeladen – entsprechend blieb bislang unklar, welchem Zweck die Malware eigentlich dient.
Da die Konfigurationsdatei in einem AWS S3 Bucket gehostet wird, könne der Angreifer nur eine einheitliche Payload ausliefern und keine unterschiedlichen auf bestimmten Parametern basierenden Konfigurationen für spezifische Ziele, erläutern die Sicherheitsforscher.
Nach Esets Analyse haben auch andere in Adware-Kampagnen benutzte "bösartige Skripte" die Datei ~/Library/._insu als Signal benutzt und dann keine weiteren Routinen nachgeladen. Silver Sparrow löscht sich offenbar selbst vom System, wenn die Datei vorhanden ist, Nutzer können daran nur noch erkennen, dass sie den Trojaner wohl installiert hatten. Man vermute, dass die Datei erstellt werde, nachdem "ein Mac monetarisiert wurde", heißt es bei Eset – er habe dann für die Angreifer hinter der Malware keinen Wert mehr.
Verbreitungsweg unbekannt
Der Verbreitungsweg von Silver Sparrow wurde bislang nicht dokumentiert, es wird vermutet, dass der Schädling wie andere Adware auch über manipulierte Suchergebnisse und Werbebanner sich plötzlich zum Download anbietet und den Nutzer zur Installation lockt. Um die Sicherheitsfunktionen des Betriebssystems nicht anschlagen zu lassen, war der Schädling mit einem Apple-Entwicklerzertifikat signiert – das Zertifikat hat Apple zurückgezogen, um die Installation auf weiteren Macs zu blockieren.
(lbe)