Исследователи из Red Canary обнаружили новое семейство вирусов, которому дали название Silver Sparrow. У вируса много странностей, и одна из них в том, что до сих пор он оставался пассивным.

Несмотря на общение с управляющими серверами примерно каждый час, вредоносных действий вирусом до сих пор не предпринималось.

Причем кроме варианта Intel x86_64 есть разновидность вируса для процессоров Apple M1. Есть двоичные файлы, при запуске которых на процессорах Intel отображается Hello World, а на процессорах Apple – You did it.

Сложная инфраструктура поддержки вируса использует AWS и Akamai CDN, поэтому серверы очень трудно отследить. Также беспокоит тот факт, что в вирусе есть механизм самоуничтожения, который устраняет все следы его пребывания на компьютере. Этот механизм по умолчанию не обнаруживается на заражённых компьютерах, что означает, что он скачивается при соблюдении определённых неизвестных условий. Метод распространения вируса тоже неизвестен, как и конечная цель этого распространения.

На 17 февраля было инфицировано 29139 компьютеров на macOS в 153 странах. При этом верить в эти цифры в общем-то не следует – по понятным причинам пользователи MacOS не искушены в антивирусной защите, и новый вирус буквально застал их со спущенными штанами. Теперь они хнычут – “Apple, спаси нас”.

Всё, что смогла предпринять компания Apple – это отозвать сертификат у аккаунтов разработчика, который использовали для подписей вредоносного пакета. Это ограничит распространение одного варианта Silver Sparrow, но уже есть версии вируса, подписанные и другими сертификатами. Apple уверяет, что у неё есть множество механизмов защиты на программном и аппаратном уровне – но вы же понимаете, это всё бла-бла-бла для хомячков.