2569567

Silver Sparrow auf knapp 30 000 Macs: Apple ergreift Maßnahmen gegen Malware

23.02.2021 | 08:30 Uhr | Stephan Wiesend

Die neue Malware richtete bisher keine Schaden an, es handelt sich aber bereits die zweite Mac-Malware mit M1-Code. Apple unterbindet nun weitere Infektionen.

Update vom 23. Februar: Bevor sich die Infektion mit Silver Sparrow weiter verbreitet, hat Apple Maßnahmen ergriffen und die Entwicklerzertifikate außer Kraft gesetzt, welche die Installation der potenziellen Malware ermöglichten. Weitere Installationen sollten somit nicht mehr möglich sein. Wie Apple aber bestätigt , ist bisher keine bösartige Nutzlast über Silver Sparrow verbunden sein, es handelt sich womöglich um einen Test mit unklarem Ziel.

Meldung vom 22. Februar: Letzten Freitag berichteten wir über eine erste Adware, die nativ auf M1-Macs läuft, auch eine zweite Malware war da bereits bekannt geworden. Die von der Sicherheitsfirma Red Canary aufgespürte Malware erhielt den Namen Silver Sparrow. Zur Überraschung der Entdecker enthielt ebenfalls eine Programmdatei, die für Apples neue ARM-Plattform kompiliert war – wenn auch ohne Funktion.

Die Malware war offenbar recht weit verbreitet. Wie Daten des Antivirensoftwareherstellers Malwarebytes zeigten, war die Software auf 29 139 macOS-Rechnern zu finden – in 153 Ländern inklusive Deutschland. Da dabei nur Nutzer von Malwarebytes berücksichtigt wurden, sollten weit mehr Macs betroffen sein.

Wie die Software auf den Rechner gelangt, ist nicht ganz klar, möglicherweise täuscht Sie ein Update von Flash Player vor und wird von den Nutzern selbst installiert. Dabei überprüft die in Javascript geschriebene App unter anderem, von welcher Webadresse sie heruntergeladen wurde, ein Hintergrundprozess kommuniziert mit einem entfernten Server. Auch eine Startdatei (init_verx.plist) wird installiert. Theoretisch könnte über den Hintergrundprozess Schadsoftware installiert werden, die App nutzt dazu den Cloud-Dienst AWS. Aus unbekannten Gründen wurde von der Malware aber bisher keine Schadsoftware heruntergeladen. Ebenfalls seltsam sind die beiden Programmdateien: Sowohl die Intel-Programmdatei als auch die ARM-Programmdatei mit ARM-Code haben offenbar keine Funktion, sie zeigt nur die für Test-Programme übliche Botschaften „Hello World“ und „You did it!“. Red Canary vermutet, dass diese beigefügten sogenannten Binaries die Glaubwürdigkeit des Installationstools erhöhen sollten.

Ob der eigene Mac von der Software befallen ist, kann man über eine Reihe an Dateien überprüfen, dazu gehört etwa die Installationsdatei „update.pkg“. Finden Sie eine solche Installationsdatei, können Sie sie über die Seite Virustotal.com überprüfen.

Unsere Meinung

Auf den ersten Blick wirkt die Malware wenig besorgniserregend, bisher wurde offenbar kein Schaden angerichtet. Vielleicht handelte es sich nur um einen Test, die hohe Verbreitung ist aber doch überraschend.

Macwelt Marktplatz

2569567