Apple Silicon Mac に影響を与えるマルウェアがさらに発見されましたが、研究者は現時点では悪意のあるペイロードが欠けていることに気付きました。
AppleのM1搭載Macを狙ったマルウェアは、これまで考えられていたよりも多く存在する可能性があるようです。最初のM1マルウェアが実環境で発見されたという初期報告を受けて、マルウェアの感染は増加しているものの、特に無力な種類のものが増えているようです。
2月初旬、Red Canaryの研究者たちは、他のマルウェアと同様にLaunchAgentを利用して活動するmacOSマルウェアを発見しました。研究者たちが興味を持ったのは、このマルウェアがJavaScriptの実行方法によって、一般的なアドウェアとは異なる動作をしていたことです。
研究者らが「Silver Sparrow」と名付けたこのマルウェアクラスターには、M1チップで動作するようにコンパイルされたバイナリも含まれていた。そのため、Apple Silicon搭載Macを標的とする可能性のあるマルウェアである。
VMware Carbon BlackとMalwarebytesの研究者によるさらなる調査により、Silver Sparrowは「これまで検出されていなかったマルウェアの一種」である可能性が高いことが判明しました。2月17日時点で、Silver Sparrowは153カ国29,139台のmacOSエンドポイントで検出されており、感染の大部分は米国、英国、カナダ、フランス、ドイツに集中しています。
本稿執筆時点では、このマルウェアは被害者のMacに悪意のあるペイロードを配信するために使用されていませんが、今後状況が変化する可能性があります。M1との互換性、「比較的高い感染率」、そしてマルウェアの運用における成熟度の高さから、このマルウェアは「影響力のあるペイロードを瞬時に配信できる独自の立場にある」深刻な脅威と判断され、公表に至りました。
このマルウェアには2つのバージョンが発見されました。1つのバージョンのペイロードはIntelベースのMacのみに影響を与えるバイナリで構成され、もう1つのバージョンはIntelとM1アーキテクチャの両方向けにコンパイルされたバイナリでした。ペイロードはプレースホルダのようで、最初のバージョンでは文字通り「Hello, World!」と書かれたウィンドウが開き、2番目のバージョンでは「You did it!」と表示されます。
![含まれているバイナリの例 [Red Canary経由]](https://image.tslro.com/imggkole/e1/12/40419-77860-image3-xl.webp)
含まれているバイナリの例 [Red Canary経由]
悪意のあるマルウェアの場合、ペイロードによって、同一または類似のペイロード命令が単一の実行可能ファイルから両方のアーキテクチャに影響を及ぼす可能性があります。
このマルウェアの仕組みは、「update.pkg」および「updater.pkg」というファイルを利用し、インストーラーを装っています。macOSインストーラJavaScript APIを利用して、疑わしいコマンドを実行します。
これは、マルウェアではなく、正規のソフトウェアで時々見られる動作であり、通常はコマンド実行にインストール前またはインストール後のスクリプトを使用します。
感染が成功すると、特定のURLでダウンロード可能なファイルを探します。ダウンロード可能なファイルには、さらなる指示や最終的なペイロードが含まれている可能性があります。1週間にわたるマルウェアの監視の結果、目に見える最終的なペイロードは提供されませんでしたが、今後変更される可能性があります。
Silver Sparrowについては、研究者にとって未解明の疑問が数多く残されています。例えば、システム感染に使用された最初のPKGファイルがどこから来たのか、そしてマルウェアのコードの一部がより広範なツールセットの一部であると思われる要素などです。
「このマルウェアの最終的な目的は謎です」とRed Canaryは認めている。「このマルウェアがどのようなペイロードを配布するのか、ペイロードが既に配布・削除されているのか、あるいは攻撃者が将来的に配布の予定を持っているのか、確実に知る術はありません。」
「Hello World」実行ファイルが含まれているかどうかも疑問です。このバイナリは自動的に実行されるのではなく、被害者が自ら検索して実行しない限り実行されません。この実行ファイルの存在は、これが開発中のマルウェアである可能性、あるいは他者にマルウェアを正当なものに見せるためにアプリケーションバンドルが必要だった可能性を示唆しています。
