Apple's nieuwe M1-chip doelwit malware

De malware - genaamd Silver Sparrow - maakt gebruik van de macOS-installerJavascript API, meldt The Register. Daarop worden 'verdachte' commando's uitgevoerd waarna de malware zich kan installeren. Onderdeel daarvan is een LaunchAgent die elke uur een script laat lopen dat contact zoek met een command-and-control-server.

Vervolgens wordt een JSON-bestand op de SSD geladen en omgezet in een 'plist', waarna de malware verdere opdrachten afwacht. Een 'plist'-bestand (afkorting voor 'property list') bevat configuratie-instellingen voor applicaties op macOS en kan ook gebruikersvoorkeuren opslaan.

Voorzichtig begin?

De onderzoekers van Red Canary zeggen nog geen bewijs te hebben gevonden dat er door de malware daadwerkelijk verdere acties zijn ondernomen op de Mac. Zij gaan er vanuit dat de malware nog in een ruststadium verkeert en wacht op het downloaden van meer onderdelen. Daarmee zouden dan daadwerkelijk kwaadaardige activiteiten uitgevoerd kunnen worden.

De verspreiding van de nu ontdekte 'voorbereidende' malware heeft plaatsgevonden via cloudplatform AWS en het content delivery network (CDN) van Akamai, suggereert Red Canary. Opmerkelijk is dat de malafide code ook is voorzien van een mechanisme om zichzelf te verwijderen. Dat duidt er volgens technieuwssite Ars Technica op dat het gaat om een zeer geavanceerde aanval.