Silver Sparrow, è un malware sofisticato, e non un amico di Jack Sparrow!

Il capitano Jack Sparrow (il cui vero nome è Jack Teague) è un personaggio immaginario e il protagonista della saga cinematografica Pirati dei Caraibi, dove è interpretato dall’attore Johnny Depp 

Partorito dalla mente di Gore Verbinski, degli sceneggiatori Terry Rossio e Ted Elliott e dell’attore Johnny Depp; quest’ultimo ha interamente creato il personaggio basandosi sulla personalità del chitarrista Keith Richards (interprete del padre di Jack, il capitano Edward Teague nel terzo, quarto e quinto film), su vari elementi rock e su aspetti di altri personaggi cinematografici (ad esempio il movimento delle mani simile a Tuco in Il buono, il brutto, il cattivo). Inizialmente doveva essere un personaggio minore ma venne enormemente adorato dagli scrittori e dal regista soprattutto per l’interpretazione di Johnny Depp e così il personaggio di Jack venne riscritto divenendo il protagonista.

Capitan Jack è comparso per la prima volta nel 2003 in La maledizione della prima luna e poi nei successivi sequel Pirati dei Caraibi – La maledizione del forziere fantasma (2006), Pirati dei Caraibi – Ai confini del mondo (2007), Pirati dei Caraibi – Oltre i confini del mare (2011) e Pirati dei Caraibi – La vendetta di Salazar (2017)[2].

Il personaggio di Jack Sparrow è divenuto un cult ed un’icona per il mondo moderno, ed oltre ad essere apparso in molti videogiochi, il personaggio ha ispirato due serie di libri per ragazzi dal titolo Pirates of the Caribbean: Jack Sparrow, in cui viene raccontata la sua adolescenza, e Pirates of the Caribbean: Legends of the Brethren Court, in cui sono narrate le sue prime avventure da pirata, entrambe scritte da Rob Kidd. Nel 2011 è stato pubblicato un romanzo prequel scritto da A. C. Crispin intitolato Pirates of the Caribbean: The Price of Freedom in cui sono raccontate le avventure di Jack come mercante della Compagnia delle Indie Orientali.

fonte wikipedia

E sino a qui la narrazione di un personaggio cinematografico, che ha in comune solo il “cognome” Sparrow con il nostro malware!

Apple, Mac e Silver Sparrow

Ecco le versione del malware, chi ha voglia e ne è capace, può verificare l’eventuale presenza di Silver Sparrow sul proprio sistemi controllando gli  indicatori di compromissione che sono stati evidenziati da Red Canary, e riportati qui sotto

Il nuovo malware per Mac si presenta come un pacchetto .PKG ed imita alla perfezione un Updater o  un Update che sembra lanciato direttamente dalla casa madre
Il primo è un codice binario sviluppato per le macchine Apple con processori Intel, mentre il secondo colpisce i nuovissimi Mac con processore M1, il chip creato da Apple appositamente per i propri computer.

Ma una delle cose più strane di questo malware, è che si autodistrugge. Ma lo fa dopo aver fatto il suo “dovere”?
Ossia fa qualcosa?
Silver Sparrow, è scritto davvero in modo mirabile, un codice binario davvero eccelso;  un malware non fatto “coi piedi” bensì sofisticatissimo, molto curato.
Installato e scoperto in ben  30.000 Mac in USA, Regno Unito, Canada, Francia, Germania e complessivamente in 153 paesi, risulta sempre dormiente come una cellula di qualche falange di attentatori

Ma sicuramente questi numeri sono sottostimati, quanti Apple saranno stati scansionati?
Non tutti di certo quindi il mistero s’infittisce!

I bersagli preferiti sono i  Mac Intel soprattutto, quelli con processore Apple ARM M1. Ne dà notizia la società di sicurezza Red Canary la quale ha individuato il malware “dormiente”

Non si conoscono ancora tutti i canali di infezione, ma a giudicare dai pacchetti si tratta per la maggior parte di phishing: i file vengono scaricati da pagine o email fraudolente, pensando di scaricare ben altra cosa.

Per ora, quando vengono aperti i pacchetti, si apre una finestra con un messaggio che dice “Hello world” oppure “You did it!” (che significano rispettivamente Ciao mondo e Ce l’hai fatta). Questo è tutto ciò che succede sul piano del visibile. In background, invece, Silver Sparrow comunica con due server ospitati nel cloud di Amazon Web Services e Akamai.

fonte

Silver Sparrow spiegato da Red Canary

Perché server AWS di Amazon e Akamai  secondo voi?

La difficoltà di accesso a tali server, dà ancora di più il polso della situazione, tutto è studiato nei minimi particolari, cosa sta aspettando il malware per attivarsi?
Cosa farà? sottrarrà dati?
E se all’improvviso il malware attiverà un payload potenzialmente importante, o bloccherà qualche funzione chiedendo ad esempio un riscatto?
Vi rammento che silver sparrow; è un tipo di malware che sfrutta le api di Javascript per andare a installare i payload.

Come funziona Silver Sparrow

All’inizio, contatta un server per comunicare di essere stato scaricato ed installato. Come lo “prendi”!?
Con dell’insano pishing fatto ad hoc, ciò che scarichi sembra del tutto originale, tipo appunto proveniente da Apple!
Non contento poi, passa a connettersi con un altro server, non una volta ma è programmato per fare questa azione una volta all’ora per vedere se sono presenti istruzioni e comandi da eseguire. Qui è dove cominciano i misteri: non sono state trovate istruzioni di nessun tipo, ovvero Silver Sparrow per adesso è attivo ma assolutamente innocuo.

La novità è che è una “innovazione” sui  Mac questo genere di attacco attacco: Javascript, con lo sviluppo dei framework frontend, sta diventando il punto di attacco preferito per molti malintenzionati, un po’ come lo è stato Flash ai tempi.
I dubbi sono tanti e la situazione è da considerarsi di una certa gravità!

Va da sé che questa non è una manovra che finisce qui, ma è decisamente un progetto molto più ampio che al momento nel D&D (dark e deep web) pare essere noto solo a pochi utenti, all’interno di forum di settore, dove per accedere devi essere conosciuto, tracciato e decisamente ben inoltrato per farne parte.

Ricorsività di Silver Sparrow

Silver Sparrow non sta ricevendo input, anzi è lì silente in attesa, ma ha anche un’altra particolarità: è dotato di un sistema di autodistruzione. Questo malware cerca periodicamente la presenza di un file sul computer (~/Library/._insu); se questo file è presente, Silver Sparrow rimuove sé stesso in modo profondo, senza lasciare tracce di compromissione.
Quindi la domanda nasce spontanea, perchè ogni ora parte un auto-detect per controllare se debba o no ricevere istruzioni di cancellazione? una volta comparso il file nella Library, cosa è accaduto nel device infettato?

Chi si prende la briga poi di non lasciare tracce del suo passaggio in modo così accurato, preciso, tanto quanto la bravura, la perizia di chi ha scritto il codice ( si non riesco a evitare di complimentarmi con il suo autore)?  E perchè?

Apple contro Silver Sparrow

Apple ha revocato i certificati degli account sviluppatore che avevano firmato i pacchetti, per cui il canale di diffusione principale è stato eliminato. Rimane il dubbio che i pacchetti update e updater non siano l’unico sistema di diffusione del malware. In futuro, potremmo scoprire nuove email o siti di phishing da cui l’utente può scaricare un pacchetto diverso, oppure Silver Sparrow potrebbe essere una sorta di test condotto da un’organizzazione di cybercriminali per sperimentare nuovi attacchi ai computer di casa Apple. In ogni caso, è chiaro che se questa minaccia si ripresenterà, lo farà assumendo una nuova forma, in modo da non far suonare campanelli d’allarme.

Per questo motivo, se hai un Mac, ti consigliamo di fare una scansione alla ricerca di malware e, se pensavi che il tuo Mac fosse immune ai virus, prendi atto che anche il tuo computer Apple è esposto a rischi e minacce informatiche.

Poi, è importante fare attenzione a non scaricare pacchetti sospetti e file da pagine sconosciute. Soprattutto per quanto riguarda le app, è meglio utilizzare solo gli store ufficiali e i portali che eseguono controlli di sicurezza sugli sviluppatori

fonte

 

Cosa fare?

Principalmente bisogna fare attenzione!

Chiunque si connetta ad internet, con qualsiasi tipo di sistema, sia esso Mac, Windows Linux, chi più ne ha più ne metta non può essere superficiale.
Ricordiamoci che il primo antivirus, potenzialmente gratuito, siamo noi stessi!
Prendiamo l’abitudine di controllare il mittente di una mail, se l’app ha recensioni positive, impariamo a “googlare” nel senso di cercare informazioni attendibili.
Arriviamo a vedere se il sito citato nell’app è davvero esistente, fate un giretto nel web per vedere se ci sono avvisaglie inerenti a ciò che volete scaricare.
E prima di fare click, ricontrollate!