Innovatie & Strategie

Security
M1-chip

Mysterieuze Mac-malware ontmaskerd

Vermeende voorbereiding door staatshackers zou gewoon (geavanceerde) adware zijn.

© Apple
8 maart 2021

Vermeende voorbereiding door staatshackers zou gewoon (geavanceerde) adware zijn.

De mysterieuze Mac-malware die op zowel Intel-processors als ook Apple's eigen M1-chips werkt, lijkt minder dreigend dan voorheen aangenomen. De zogeheten Silver Sparrow-malware is volgens onderzoek door ESET namelijk geen initiële stap door statelijke actoren. Het nog niet geactiveerde malware is 'gewoon' gerelateerd aan ads.

Silver Sparrow is ontdekt en wereldkundig gemaakt door securityleverancier Red Canary. Onderzoekers van die firma hebben de Mac-malware gevonden op 30.000 Macs in 153 landen, waar het al sinds 17 februari aanwezig zou zijn. Naast het feit dat deze kwaadaardige software mikt op Macs, is er de noviteit dat het niet alleen werkt op x86-processors van Intel maar ook op de Apple-eigen M1-processors. Apple hevelt zijn Mac-platform over naar die zelfontworpen ARM-chips.

Klaar staan, voor ads-klanten?

Terwijl Silver Sparrow al wel is aangetroffen op Macs blijkt het daar nog niet actief te zijn. De geïnstalleerde malware staat klaar om aanvullende malware of commando's binnen te halen, maar dat is nog niet gebeurd waardoor het ware doel nog onduidelijk is. Bovendien heeft Red Canary bij deze malware de opvallende eigenschap ontdekt dat die in staat is zichzelf te vernietigen. Dat heeft geleid tot vermoedens van geavanceerde staatshackers, als partij achter deze Mac-malware.

Onderzoekers van ESET komen echter tot een hele andere conclusie. De experts van die securityleverancier melden dat Silver Sparrow niet een vorm is van 'nation-state malware', maar dat het waarschijnlijk gerelateerd is aan adware. Daarbij hanteren de daders een businessmodel van betalen per installatie, wat mede kan verklaren waarom de malware z'n eigenlijke payload nog niet binnen heeft gehaald.

Zelfvernietiging na adware

De eerste infecties door deze Mac-malware zijn door ESET teruggevoerd naar september vorig jaar. De functie voor zelfvernietiging wordt geactiveerd door de aanwezigheid van een bestand met specifieke naam: 'insu'. ESET heeft zo'n opzet eerder gevonden bij malwarecampagnes. De onderzoekers speculeren dat het bestand in kwestie gerelateerd is aan de installatie van de eigenlijke malware. Hierbij zou 'insu' dan staan voor 'installation succesfull', speculeren de experts van ESET.

Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.