Unica Radio Raccontiamo la città che cambia
Individuato il virus Silver Sparrow su decine di migliaia di Mac. Apple è corsa ai ripari ma rimangono diverse domande sugli obiettivi di un’infezione latente e sofisticata, in grado di insinuarsi anche nei nuovi chip M1.
I ricercatori di Malwarebytes e Red Canary l’hanno già individuato dentro circa 30mila Mac, i computer di Apple senza distinzione fra laptop e fissi. Ma è verosimile che Silver Sparrow, così l’hanno battezzato, abbia già infettato molte più macchine. Sono due gli aspetti interessanti di questo nuovo virus scovato sui pc della Mela, ritenuti a torto più sicuri degli altri. Il primo è che sembra progettato per traghettare qualcosa sui computer, ma non si sa ancora cosa visto che il virus al momento è innocuo. Si limita a collegarsi al server di riferimento una volta all’ora, per controllare se ci siano comandi da eseguire o pacchetti da scaricare, e poi si ritira. Il secondo è che parrebbe dotato di un meccanismo di autodistruzione che sarebbe in grado di rimuovere ogni traccia del suo passaggio, una volta fatto quel che dovrà fare. Il che lascia pensare al frutto di un’operazione particolarmente sofisticata, non troppo comune per questo tipo di minacce.
In un post sul blog ufficiale, Red Canary fornisce ulteriori dettagli, compreso il fatto di averne scoperti diversi tipi in grado di colpire i Mac equipaggiati con processori Intel e anche i nuovissimi computer dotati di piattaforma proprietaria M1 basati su architettura Arm. Un aspetto, questo, che inquieta non poco considerando appunto che sono appena entrati sul mercato. Sono il cuore dei nuovi Mac mini, MacBook Air e MacBook Pro, svelati alla fine del 2020 e sono note pochissime vulnerabilità sul loro conto. La prima l’hanno scoperta proprio pochi giorni fa dal ricercatore Patrick Wardle di Objective-See. Si tratta di un adware installato tramite un’estensione per Safari, una variante del noto adware Pirrit per Mac.
Il Silver Sparrow
Secondo gli esperti, Silver Sparrow potrebbe essere in fase di distribuzione e iniziare a fare il suo lavoro una volta raggiunta un’“infezione” diffusa su un numero più elevato di “endpoint”. In ogni caso, le macchine in cui è stato individuato sono installate in 153 paesi sebbene concentrate in Canada, Francia, Germania, Regno Unito e Stati Uniti. A quanto pare, dall’analisi del codice, il virus si baserebbe sull’infrastruttura cloud di Amazon Web Services e sulla piattaforma di Akamai per la distribuzione dei contenuti. Ma il punto è proprio questo: al momento non sta distribuendo nulla e non c’è chiarezza sulla sua finalità malevola. Non c’è alcuna prova che era già in uso in qualche modo, e Apple sarebbe già corsa ai ripari, impedendone l’installazione e revocando i certificati.
Le parole di Ars Technica
“L’assenza di scaricamento di programmi o comandi suggerisce che il malware possa entrare in azione una volta che una specifica condizione venga raggiunta”. Scrive il sito Ars Technica che ne ha dato conto nel modo più esaustivo. Così come non c’è traccia del fatto che la funzionalità di autodistruzione del virus – che sfrutta le l’Api JavaScript Installer di macOS – fosse già in uso. Sollevando dunque dubbi e domande sulle reali ragioni per cui fosse implementato. Ad aggiungere un tocco di mistero è il messaggio che viene visualizzato quando il pacchetto malware viene eseguito su Mac basati su Intel. Dalla versione per i Mac con i chip del vecchio fornitore esce una finestra vuota con il messaggio “Hello, World!”. Sui Mac equipaggiati con M1, invece, il binario dannoso apre una finestra a sfondo rosso contenente il messaggio “You did it!”. Per gli analisti niente più che dei placeholder, “finestre” pronte per portare il messaggio futuro fuori dall’esecuzione del codice.
Gli esperti di Red Canary
“Sebbene non abbiamo ancora osservato Silver Sparrow fornire payload dannosi aggiuntivi, la sua compatibilità con i chip M1, la portata globale, il tasso di infezione relativamente alto e la maturità operativa suggeriscono che Silver Sparrow sia una minaccia seria”. Spiegano gli esperti di Red Canary nell’analisi. Insomma, una specie di infezione latente, una potenziale bomba a orologeria che potrebbe scatenare i suoi effetti solo al verificarsi di determinate condizioni. Nessuno sa quali. L’uso di Amazon Web Services e Akamai rende fra l’altro il blocco dei server ben più complicato che in altre situazioni simili.
Nello specifico, una volta installato Silver Sparrow cerca la URL da cui è stato scaricato il pacchetto di installazione, probabilmente per segnalare a chi lo controlla quali canali di distribuzione hanno avuto più successo.
Per chi volesse controllare se il proprio Mac sia “portatore sano” dell’enigmatico virus, Red Canary ha stilato una serie di istruzioni per effettuare le verifiche sulla propria macchina.
