MADRID, 22 Feb. (Portaltic/EP) -
Un 'malware' dirigido contra los equipos MacOS, el segundo identificado como nativo para el procesador M1, y denominado Silver Sparrow, se encuentra presente en cerca de 30.000 equipos aunque los investigadores no saben por el momento cual puede ser su finalidad.
Los investigadores de Red Canary encontraron a principios de este mes una cepa de 'malware' diseñado para MacOS que utiliza LaunchAgent "para establecer la persistencia", y que usa JavaScript para la ejecución.
Lo llamativo de este binario malicioso es, por un lado, que se trata del segundo 'malware' identificado nativo para el procesador M1, y por otro, que pese a haberse encontrado instalado en cerca de 30.000 equipos MacOS -cifra procedente de las detecciones de Malwarebytes, pero puede ser superior-, los investigadores no tienen claro cuál es su finalidad.
Como explican en el blog de Red Canary, el 'malware', bautizado como Silver Sparrow, no tiene cargas útiles maliciosas adicionales que se hayan detectado, pero entienden que se trata de una "amenaza razonablemente grave" por su potencial de infección.
Los binarios de este 'malware' no hacen mucho "por el momento"; se distribuye a través de anuncios maliciosos, conocidos como 'adware', que se ocultan en aplicaciones legítimas y actúan como instaladores únicos.
Estos paquetes de instalación usan JavaScript para ejecutar comandos sospechosos, lo que supone, según Red Canary, la primera vez que se observa en un programa malicioso y que se aleja del comportamiento más habitual de los instaladores de 'malware' para MacOS.
Y recurre a LaunchAgents para establecer la persistencia, es decir, emplea una herramienta que permite lanzar determinados servicios en el arranque con el inicio de sesión de usuario. Se aprovecha de que algunas herramientas 'antimalware' no detectan con facilidad estos procesos maliciosos en LaunchAgents.
Silver Sparrow, además, emplea los servidores de Amazon (Amazon Web Services) y los dominios alojados en Akamai CDN para su distribución, algo que desde Red Canary no creen que sea casual, sino signo de que se trata de un 'malware' "maduro", porque "la mayoría de las organizaciones no pueden permitirse bloquear el acceso a los recursos en AWS y Akamai". Además, contiene un mecanismo para la autoeliminación.
Por último, señalan que "el objetivo final de este 'malware' es un misterio", ya que por el momento no se sabe el tipo de carga útil que distribuiría, o si ya lo ha hecho y tras ello lo ha eliminado.