El misterioso malware que ha infectado a 30.000 Macs con M1

    La mayor parte de las infecciones son en EEUU, Reino Unido, Canadá, Francia y Alemania.

    Recientemente se ha descubierto otro malware que afecta a los Macs. Aunque los investigadores han visto que, por el momento, no parece ser muy malicioso. Hace tiempo vimos el primer malware desarrollado específicamente para los Mac con chip M1, pero parece haber más malware dirigido a los Macs de lo que Apple esperaría.

    Malware

    A principios de este mes, investigadores de Red Canary descubrieron un malware para macOS que utilizaba LaunchAgent para introducirse. Los investigadores observaron que este malware se comportaba de manera diferente, debido a cómo utilizaba JavaScript para su ejecución.

    Un malware con nombre y apellidos

    «Silver Sparrow» es como lo han llamado los investigadores. Tiene un sistema binario complejo para trabajar específicamente con chips M1, lo que le convierte en un malware dirigido casi exclusivamente a los Macs.

    Los investigadores también ven probable que Silver Sparrow pueda ser una «cepa» de malware no detectada anteriormente. También se ha comprobado que en los casi 30.000 macs infectados, ninguno ha sufrido daños, algo que quizás podría cambiar en el futuro. Debido a la compatibilidad con M1, la «tasa de contagio» es bastante alta y se consideraría una amenaza lo suficientemente grave como para que pueda hacer algo impactante en cualquier momento.

    MacBook
    Optimizar tu Mac es realmente sencillo

    Existirían dos versiones de este malware

    La primera afectaría solo a los macs basados en Intel. La segunda es un poco más compleja y afectaría, como ya hemos dicho, a los macs con M1. En la primera versión se abre una ventana que dice «Hola, Mundo» y en la segunda dice «Lo hiciste».

    El mecanismo para que el malware se active funcionaba activando archivos titulados «update.pkg» y «Updater.pkg», siendo aparentemente instaladores y aprovechando después JavaScript para ejecutar los comandos sospechosos.

    Este es un comportamiento que solemos ver en software que no son malware, que generalmente usan script preinstalados o posteriores a la instalación para la ejecución de algunos comandos.

    Una vez instalado, el malware intenta comprobar una URL específica para descargar un archivo que podría contener más instrucciones, aunque después de una semana de monitoreo el malware no presenta ninguna «tarea final» visible por el momento.

    Poco se conoce todavía

    Hay ciertas preguntas por contestar todavía de Silver Sparrow. Una de ellas es dónde se encontraban los archivos «.pkg» iniciales para infectar sistemas. El objetivo final es también un misterio, como lo es también los carteles que hemos comentado de «Hola, Mundo» y «Lo hiciste», que no se ejecutan hasta que lo buscas activamente y lo ejecutas, en lugar de hacerlo automáticamente.

    Todo esto sugiere que este malware podría tener un desarrollo insuficiente o que necesitara un paquete de aplicaciones para poder hacer algo más.

    Esperemos que todo esto se quede en una «broma» y que los malware nunca afecten a nuestros dispositivos. Seguramente en unos meses sabremos algo más sobre Silver Sparrow.