Actualités

Silver Sparrow : vulnérabilité impactant 29 139 terminaux sous macOS ! (compatible SoC M1…)

L’équipe sécuritaire Red Canary vient de mettre en lumière une faille ciblant les terminaux Apple, sous macOS : celle-ci touche les pays du monde entier – dont la France – et s’adapte déjà aux nouveaux M1 d’Apple… Inactif pour l’heure, le malware-adware s’annonce comme une charge virale en puissance, préviennent les chercheurs.

 

 

Le socle insécuritaire commun est JavaScript : deux packages ont été créées (selon la version du terminal Apple dont le SoC dernier-né, M1…) ; l’un au format PKG et l’autre au format DMG : il s’agit des installateurs “uniques et autonomes”. Le billet sécuritaire fait état d’une évolution et pas dans le bon sens, concernant l’API JavaScript : “bien que nous ayons observé des logiciels légitimes faire cela, c’est la première fois que nous l’avons observé dans des logiciels malveillants. Il s’agit d’un écart par rapport au comportement que nous observons généralement dans les programmes d’installation malveillants de macOS, qui utilisent généralement des scripts de pré-installation ou de post-installation pour exécuter des commandes. Dans les cas de pré-installation et de post-installation, l’installation génère un modèle de télémétrie particulier“, est-il expliqué, pointant du doigt une inclusion JavaScript au sein du fichier XML qui amorcera la charge malveillante, via une balise de vérification-installation. Une fois cette étape franchie, system.run entre en jeu en permettant le déversement de multiples processus de type bash, ce dernier s’agrémentant des fonctions appendLine, appendLinex et appendLiney qui iront, à leur tour, s’immiscer dans le disque dur (en terme d’écriture).

Redoublement flexible, le code exploite un script dynamique pour faire une modification – distante, malveillante – sur le pouce ou au besoin tout en passant sous les radars des systèmes de vérifications-système du terminal ainsi infecté. “Une fois toutes les commandes écrites, deux nouveaux scripts existent sur le disque: /tmp/agent.sh et ~ / Library / Application Support / verx_updater / verx.sh. Le script agent.sh s’exécute immédiatement à la fin de l’installation pour contacter un système contrôlé par l’adversaire et indiquer que l’installation a eu lieu. Le script verx.sh s’exécute périodiquement en raison d’un LaunchAgent persistant pour contacter un hôte distant”, explique Red Canary qui pose la problématique du caractère versatile de LaunchAgent : suivant l’environnement et les outils usités, le contenu de LaunchAgent peut ne pas être aussi sûr que son contenant-même. Un vecteur potentiellement idéal pour un malware, souligne l’équipe sécuritaire qui préconise, dans ce cas, PlistBuddy.

En finalité, des attaques par command-and-control peuvent potentiellement être initialisées : le LaunchAgent ira télécharger et installer un fichier JSON depuis une exécution de script Shell. De manière récurrente (tout les heures… !) une propriété-fichier (downloadURL) est vérifiée ou actualisée pour, au besoin, ajouter du contenu. Pour optimiser l’étendue de la charge malveillante, AWS (Amazon Web Service) et Akamai CDN ont été inclus dans le système de logicisme de Silver Sparrow. Une dimension tournée vers le Cloud, en plus du local qui, pour l’heure, n’est pas vraiment dangereuse, malgré l’exploit qui, lui, l’est : “Silver Sparrow inclut une vérification de fichier qui entraîne la suppression de tous les mécanismes et scripts de persistance. Il vérifie la présence de ~ / Library /._ insu sur le disque et, si le fichier est présent, Silver Sparrow supprime tous ses composants du nœud final. Les hachages signalés par Malwarebytes (d41d8cd98f00b204e9800998ecf8427e) indiquaient que le fichier ._insu était vide […] Le fichier ._insu n’apparaît pas présent par défaut sur macOS, et nous ne connaissons actuellement pas les circonstances dans lesquelles le fichier apparaît“, dénote les chercheurs qui explique que les deux versions (packages) amène des messages assez étranges comme “bonjour le monde !” voire “vous l’avez fait !“.

Selon le PoC, premier en la matière, Silver Sparrow serait apparu depuis, au moins, Août 2020 et pourrait potentiellement impacter 153 pays, tels que les États-Unis, l’Allemagne, la France, le Canada ou encore le Royaume-Uni. Les moteurs de recherche seraient l’un des moyens de distribution de ce malware. Selon les propos relayés par AppleInsider, un porte-parole de l’entreprise confirme que les certificats incriminés (signatures) ont été révoqués… A veiller !

 

 

 

Source : Blog RedCanary – 18 Février 2021 – Silver Sparrow : malware (en veille, pour l’heure) sur macOS et SoCs M1 Apple.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.7.2