Malware Misterius “Silver Sparrow” Infeksi 30.000 macOS

  • Whatsapp
Malware Silver Sparrow

Sebuah malware yang sebelumnya tidak terdeteksi ditemukan di hampir 30.000 Mac di seluruh dunia. Penemuan tersebut memunculkan misteri di lingkaran pegiat kemanan digital tentang apa yang dilakukan tersebut dan tujuan dari malware itu.

Setiap satu jam sekali, Mac yang terinfeksi akan memeriksa server pengontrol untuk melihat apakah ada perintah atau binari baru yang harus dijalankan malware tersebut. Namun sejauh ini, para peneliti melihat pengiriman perintah apapun pada salah satu dari 30.000 Mac yang terinfeksi. Hal ini membuat tujuan malware tersebut sulit untuk dideteksi.

Bacaan Lainnya

Satu hal yang makin membuat penasaran, seperti dilansir oleh Arsetechnica malware ini memiliki mekanisme untuk menghapus dirinya sendiri. Kemampuan tersebut biasanya disediakan untuk operasi – operasi yang sifatnya rahasia. Namun sejauh ini belum ada tanda – tanda fitur penghapusan itu digunakan.

Selain semua misteri diatas, malware ini juga memiliki versi yang berjalan pada chip M1 yang baru diperkenalkan Apple pada November tahun lalu. Hal itu menjadikannya sebagai malware macOS kedua yang diketahui melakukannya. Sistem binernya diketahui lebih misterius karena menggunakan macOS instaler JavaScript API untuk menjalankan perintah. Hal itulah yang membuat para peneliti kesulitan menganalisis paket instalasi atau cara paket tersebut menggunakan perintah JavaScript.

Malware tersebut telah ditemukan di 153 negara dengan konsentrasi utama di Amerika Serikat, Inggris, Kanada, Prancis dan Jerman. Malware itu bekerja melalui Amazone Web Service dan jaringan pengiriman konten Akamai yang memastikan infrastruktur perintah bekerja dengan andal dan mempersulit pemblokiran server. Para peneliti dari Red Canary, perusahaan yang pertama kali menemukan malware tersebut, menamakan malware ini sebagai Silver Sparrow.

“Meskipun kami belum melihat Silver Sparrow mengirimkan perintah berbahaya, kompabilitasnya di chip M1 menunjukan bahwa Silver Sparrow merupakan ancaman yang cukup serius. Diposisikan secara unik untuk memberikan dampak yang tiba – tiba,” tulis peneliti dari Red Canary dalam posting blog mereka.

“Mengingat alasan yang memprihatinkan ini, dan dengan semangat transparansi kami ingin segera membagikan semua yang kami ketahui secara lebih luas.”

Silver Sparrow hadir dalam dua versi, satu dengan biner format Mach-object yang berjalan untuk prosesor intel x86_64 dan biner Mach-O yang berjalan di M1. Sejauh ini para peneliti belum melihat kedua biner melakukan banyak hal yang mendorong peneliti untuk menyebutnya sebagai “biner pengamat”.

ARSTECHNICA

Anehnya saat dijalankan biner x86_64 menampilkan kata “Hello World!” sedangkan biner M11 bertuliskan “Kamu berhasil!”. Para peneliti menduga file tersebut adalah place holder yang memberikan pengistal sesuatu untuk mendistribusikan konten di luar eksekusi JavaScript. Apple sendiri dilaporkan telah mencabut sertifikat pengembang untuk kedua file biner tersebut.

Versi M1 Silver Sparrow menunjukan bahwa pengembangannya berada di depan sebuah kurva. Setelah diinstal, Silver Sparrow akan mencari URL asal unduhan paket penginstal. Itu memungkinkan operator tersebut mengetahui saluran distribusi file mana yang paling rentan untuk ditembus.

Dalam hal ini Silver Sparrow menyerupai adware macOS yang pernah dilihat sebelumnya. Masih belum jelas bagaimana tepatnya atau dimana malware tersebut didistribusikan atau bagaimana ia dapat terinstal dalam perangkat.

Hal yang paling mengesankan adalah jumlah Mac yang telah terinfeksi Silver Sparrow. Para peneliti dari Red Canary bekerja sama dengan Malwarebytes menemukan Silver Sparrow telah bersembunyi di 29.139 macOS hingga hari Rabu (17/2).

Baca juga: Waspada ! Aplikasi Barcode Scanner Ini Kedapatan Menyebarkan Malware

“Bagi saya, yang paling menonjol adalah ditemukannya (malware ini) di hampir 30.000 titik macOS, dan ini hanyalah titik akhir yang dapat dilihat MalwareBytes, jadi jumlahnya mungkin jauh lebih tinggi,” kata pAtrick Wardle, pakar keamanan macOS. (via)

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *