תוכנות זדוניות נוספות משפיעותאפל סיליקוןמחשבי Mac נחשף, אך חוקרים הבחינו כי הוא חסר מטען זדוני, לעת עתה.
נראה שייתכן שיש יותר תוכנות זדוניות המכוונות למחשבי ה-M1 מבוססי ה-Mac של אפל ממה שחשבו בעבר. בעקבות הדוחות ראשונייםמבין תוכנות הזדוניות הראשונות של M1 שנמצאו בטבע, נראה שיש יותר זיהומים של תוכנות זדוניות, אבל ממגוון חסר שיניים במיוחד.
בתחילת פברואר, חוקרים מהקנרית האדומההתגלהזן של תוכנות זדוניות ב-macOS שהשתמשו ב-LaunchAgent כדי ליצור את נוכחותו, בדומה לכמה צורות אחרות של תוכנות זדוניות. מה שעניין את החוקרים הוא שהתוכנה הזדונית התנהגה בצורה שונה מתוכנות פרסום טיפוסיות, בשל האופן שבו היא השתמשה ב-JavaScript לביצוע.
אשכול התוכנות הזדוניות, שנקרא על ידי החוקרים כ"דרור כסף", כלל גם קובץ בינארי שנערך לעבודה עם שבבי M1. זה הפך אותו לתוכנה זדונית שעלולה להתמקד במחשבי Apple Silicon Mac.
מחקר נוסף של חוקרים ב-VMware Carbon Black ו-Malwarebytes קבע שסביר להניח ש-Silver Sparrow הוא "זן שלא זוהה בעבר של תוכנות זדוניות". נכון ל-17 בפברואר, הוא זוהה ב-29,139 נקודות קצה של macOS ב-153 מדינות, כאשר עיקר הזיהומים נמצאים בארה"ב, בריטניה, קנדה, צרפת וגרמניה.
בזמן הפרסום, התוכנה הזדונית לא שימשה כדי לספק מטען זדוני למחשבי Mac הקורבן, אם כי זה עשוי להשתנות בעתיד. בשל התאימות ל-M1, "שיעור ההדבקה הגבוה יחסית" והבשלות התפעולית של התוכנה הזדונית, זה נחשב לאיום רציני מספיק ש"ממוקם באופן ייחודי לספק מטען בעל פוטנציאל השפעה בהתראה של רגע", מה שגרם ל- חשיפה לציבור.
התגלו שתי גרסאות של התוכנה הזדונית, כאשר המטען של גרסה אחת מורכבת מקובץ בינארי השפיע רק על מחשבי מקינטוש מבוססי אינטל, בעוד שהשנייה הייתה בינארי שהורכב עבור ארכיטקטורות אינטל ו-M1 כאחד. המטען הוא לכאורה מציין מיקום, שכן הגרסה הראשונה פותחת חלון שאומר ממש "שלום, עולם!" והשני אומר "עשית את זה!"
דוגמה לבינארי הכלול [דרך כנרית אדומה]
אם זה היה תוכנה זדונית, המטען עלול לאפשר לאותן הוראות מטען או דומות להשפיע על שתי הארכיטקטורות מקובץ הפעלה יחיד.
המנגנון של התוכנה הזדונית פעל סביב קבצים שכותרתם "update.pkg" ו-"updater.pkg", תוך דמות של מתקינים. הם מנצלים אתmacOSמתקין JavaScript API לביצוע הפקודות החשודות.
זוהי התנהגות שלעיתים נראית עם תוכנה לגיטימית ולא עם תוכנות זדוניות, שמשתמשות בדרך כלל בסקריפטים מראש להתקנה או לאחר התקנה לביצוע פקודות.
לאחר שההדבקה מצליחה, ההדבקה מנסה לבדוק כתובת URL ספציפית עבור קובץ הניתן להורדה, שיכול להכיל הוראות נוספות או מטען סופי. שבוע של מעקב אחר התוכנה הזדונית הביא לכך שלא הופעלה מטען סופי גלוי לעין, מה שעדיין עשוי להשתנות בעתיד.
ישנן שאלות רבות שנותרו ללא מענה לחוקרים לגבי דרור הכסף. אלה כוללים את המקום שבו קובצי ה-PKG הראשוניים השתמשו להדבקת מערכות, ואלמנטים של הקוד של התוכנה הזדונית שנראה שהם חלק ממערכת כלים רחבה יותר.
"המטרה הסופית של תוכנה זדונית זו היא תעלומה", מודה הקנרית האדומה. "אין לנו דרך לדעת בוודאות איזה מטען יופץ על ידי התוכנה הזדונית, אם מטען כבר נמסר והוסר, או אם ליריב יש ציר זמן עתידי להפצה."
ישנה גם שאלה של הכללת קובצי ההפעלה "Hello World", שכן הקובץ הבינארי לא יפעל אלא אם קורבן חיפש אותו באופן פעיל והריץ אותו, במקום לרוץ אוטומטית. קובצי ההפעלה מצביעים על כך שזו יכולה להיות תוכנה זדונית בתת-פיתוח, או שהיה צורך בחבילת יישומים כדי לגרום לתוכנה הזדונית להיראות לגיטימית לגורמים אחרים.
![MoviePass אומר שהאפליקציה עוקבת אחר מיקום המשתמש לאחר שהם עוזבים את הקולנוע, אומר המנכ"ל [u]](https://photos5.appleinsider.com/gallery/25064-33450-180305-MoviePass-xl.jpg)
