Overslaan en naar de inhoud gaan

Mysterieuze Mac-malware ontmaskerd

De mysterieuze Mac-malware die op zowel Intel-processors als ook Apple's eigen M1-chips werkt, lijkt minder dreigend dan voorheen aangenomen. De zogeheten Silver Sparrow-malware is volgens onderzoek door ESET namelijk geen initiële stap door statelijke actoren. Het nog niet geactiveerde malware is 'gewoon' gerelateerd aan ads.
Apple Silicon, M1
© Apple
Apple

Silver Sparrow is ontdekt en wereldkundig gemaakt door securityleverancier Red Canary. Onderzoekers van die firma hebben de Mac-malware gevonden op 30.000 Macs in 153 landen, waar het al sinds 17 februari aanwezig zou zijn. Naast het feit dat deze kwaadaardige software mikt op Macs, is er de noviteit dat het niet alleen werkt op x86-processors van Intel maar ook op de Apple-eigen M1-processors. Apple hevelt zijn Mac-platform over naar die zelfontworpen ARM-chips.

Klaar staan, voor ads-klanten?

Terwijl Silver Sparrow al wel is aangetroffen op Macs blijkt het daar nog niet actief te zijn. De geïnstalleerde malware staat klaar om aanvullende malware of commando's binnen te halen, maar dat is nog niet gebeurd waardoor het ware doel nog onduidelijk is. Bovendien heeft Red Canary bij deze malware de opvallende eigenschap ontdekt dat die in staat is zichzelf te vernietigen. Dat heeft geleid tot vermoedens van geavanceerde staatshackers, als partij achter deze Mac-malware.

Onderzoekers van ESET komen echter tot een hele andere conclusie. De experts van die securityleverancier melden dat Silver Sparrow niet een vorm is van 'nation-state malware', maar dat het waarschijnlijk gerelateerd is aan adware. Daarbij hanteren de daders een businessmodel van betalen per installatie, wat mede kan verklaren waarom de malware z'n eigenlijke payload nog niet binnen heeft gehaald.

Zelfvernietiging na adware

De eerste infecties door deze Mac-malware zijn door ESET teruggevoerd naar september vorig jaar. De functie voor zelfvernietiging wordt geactiveerd door de aanwezigheid van een bestand met specifieke naam: 'insu'. ESET heeft zo'n opzet eerder gevonden bij malwarecampagnes. De onderzoekers speculeren dat het bestand in kwestie gerelateerd is aan de installatie van de eigenlijke malware. Hierbij zou 'insu' dan staan voor 'installation succesfull', speculeren de experts van ESET.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in