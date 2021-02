Sicherheitsforscher haben eine neue Malware entdeckt, die sich bereits auf Macs eingenistet hat. Sie tut bislang allerdings nichts, außer auf weitere Befehle zu warten. Der Silver Sparrow genannte Schädling kommt als Installationspaket auf Macs und muss vom Nutzer offensichtlich erst installiert werden. Es gibt sowohl ein "updater.pkg", das auf Intel-Macs ausgelegt ist als auch ein update.pkg, das ein für Intel- ebenso wie ARM-Macs angepasstes Programm im Standard-Binärformat Mach-O ausliefert, wie die Sicherheitsfirma Red Canary erläutert.

Malware hat bislang keine neuen Befehle erhalten

Das Programm sei aber nicht mehr als ein "Zuschauer", heißt es in der Analyse der Sicherheitsfirma. Wird es geöffnet, zeigt es entweder lediglich "Hello, World!" oder "You did it!" an. Die Malware nutze die Installer-JavaScript-Schnittstelle von macOS, um Shell-Skripte auszuführen und sich als LaunchAgent dauerhaft auf dem System einzunisten. Silver Sparrow kontaktiere stündlich einen Befehlsserver, um zusätzliche Inhalte zu laden und auszuführen. Man habe das Tool über eine Woche beobachtet, dabei sei allerdings keine Payload nachgeladen worden, weshalb das Ziel der Malware ein Rätsel bleibe, so die Sicherheitsforscher.

Das AV-Tool Malwarebytes konnte bis Mitte Februar auf über 29.000 Macs eine Infektion mit Silver Sparrow feststellen, besonders häufig sei die Malware auf Macs in USA, Großbritannien, Kanada, Frankreich und Deutschland installiert gewesen.

Zertifikat von Apple zurückgezogen

Unklar ist, wie das Installationspaket ausgeliefert wird. Die Sicherheitsforscher vermuten, dass es über verschiedene Kanäle vertrieben wird und sich als legitime Mac-Software tarnt, die etwa über manipulierte Werbebanner oder Suchergebnisse auf Macs zum Download angeboten wird. Apple hat die von den Installationspaketen zur Signierung verwendeten Entwickler-Zertifikate inzwischen offenbar zurückgezogen.

Ungewöhnlich für eine derart häufig in freier Wildbahn anzutreffende Malware ist, dass diese eine Selbstzerstörungsroutine aufweist, mit der sie möglichst spurlos wieder von einem infizierten Mac verschwinden soll. Auch diese sei bislang offenbar nicht gezündet worden, so die Sicherheitsforscher. Derartige Techniken nutzt sonst eher Malware, die gezielt gegen einzelne Personen eingesetzt wird.

[Update 22.2.2021 18:20 Uhr] Auf einem infizierten Mac können sich folgende Dateien finden, die als "Indikatoren für eine Kompromittierung" gelten, wie die Sicherheitsforscher schreiben:

/tmp/agent.sh

/tmp/version.json

/tmp/version.plist

~/Library/._insu

Lesen Sie auch Sicherheitsfirma: Malware-Befall auf Macs rückläufig

(lbe)