مک های دارای M1 مورد حمله یک بدافزار قرار گرفتند

شرکت امنیتی رد کنری دومین بدافزار شناخته‌شده‌ای را کشف کرده است که برای اجرا و خراب‌کاری در مک‌های دارای تراشه M1 تدوین شده است.

بسته بدافزار مذکور «سیلور اسپارو» نام دارد و گفته می‌شود که برای اجرای دستورات مشکوک از API جاوا اسکریپت مک او اس اینستالر استفاده می‌کند. با این حال، پس از مشاهده یک بدافزار به مدت یک هفته، نه رد کنری و نه شرکای تحقیقاتی آن تأثیر نهایی این بدافزار را مشاهده نکردند. بنابراین، میزان خراب‌کاری دقیق این بدافزار همچنان به‌عنوان یک معما باقی مانده است.

با وجود این، رد کنری بیان کرد که این بدافزار می‌تواند «یک تهدید کاملاً جدی» برای مک‌های دارای تراشه M1 باشد:

اگرچه ما هنوز مواردی را مشاهده نکرده‌ایم که سیلور اسپارو بتواند خراب‌کاری‌های دیگری را نیز ایجاد کند، سازگاری تراشه M1، پوشش جهانی مک‌های اپل، نسبتاً بالا بودن میزان آلودگی این مک‌ها به سیلور اسپارو و بلوغ عملیاتی این ویروس نشان می‌دهد که سیلور اسپارو یک تهدید جدی است و موقعیت منحصر به فرد آن می‌تواند بلافاصله باعث ایجاد مشکلات متعدد در سیستم‌های آلوده شود.

براساس داده‌های ارائه‌شده توسط مالویربایتس، از چهارشنبه ۲۹ بهمن (۱۷ فوریه)، «سیلور اسپارو» ۲۹۱۳۹ سیستم مک او اس را در ۱۵۳ کشور آلوده کرده است، از جمله «تعداد زیادی دستگاه در ایالات متحده، انگلستان، کانادا، فرانسه و آلمان». رد کنری مشخص نکرد که چه تعداد از این سیستم‌ها مک‌های دارای تراشه M1 هستند.

با توجه به اینکه باینری سیلور اسپارو «هنوز کار زیادی انجام نداده است»، رد کنری از آن به‌عنوان «باینری تماشاگر» یاد می‌کند. بسته بدافزار مذکور هنگام اجرا در مک‌های دارای تراشه اینتل، فقط یک پنجره خالی با عبارت «Hello، World!» را نشان می‌دهد و پرونده باینری در سیلیکون اپل منجر به نمایش یک پنجره قرمزرنگ می‌شود که می‌گوید «تو این کار را کردی!»

رد کنری روش‌های شناسایی تهدیدهای مختلف این ویروس در مک او اس را به اشتراک گذاشته است، اما این مراحل فقط برای تشخیص سیلور اسپارو نیست:

به دنبال فرآیندی باشید که به نظر می‌رسد PlistBuddy در آن با خط فرمانی که دارای موارد زیر است، اجرا شده است: LaunchAgents و RunAtLoad و true. این تجزیه‌وتحلیل به شما کمک می‌کند تا چندین خانواده از بدافزارهای مک او اس را پیدا کنید که LaunchAgent را در سیستم ایجاد کنند.

به دنبال فرآیندی باشید که به نظر می‌رسد sqlite3 در آن با خط فرمانی که دارای مورد زیر است، اجرا شده است: LSQuarantine. این تجزیه‌وتحلیل به شما کمک می‌کند تا چندین خانواده از بدافزارهای مک او اس را پیدا کنید که فراداده فایل‌های بارگیری شده را دست‌کاری یا جستجو می‌کنند.

به دنبال فرآیندی باشید که به نظر می‌رسد curl در آن با خط فرمانی که دارای مورد زیر است، اجرا شده است: s3.amazonaws.com. این تجزیه‌وتحلیل به شما کمک می‌کند تا از سطل‌های S3 برای توزیع و یافتن چندین خانواده بدافزار مک او اس استفاده کنید.

چند روز پیش، اولین بدافزاری که می‌توانست به‌صورت آفلاین بر روی مک‌های دارای تراشه M1 اجرا شود، کشف شد. جزئیات فنی بدافزار دومی را می‌توان در پست وبلاگ رد کنری یافت و آرس تکنیکا نیز توضیح مناسبی را درباره این موضوع ارائه داده است.