Silver Sparrow, il virus misterioso che colpisce i Mac. E si autodistrugge
I ricercatori di Malwarebytes e Red Canary l’hanno già individuato dentro circa 30mila Mac, i computer di Apple senza distinzione fra laptop e fissi. Ma è verosimile che Silver Sparrow, così l’hanno battezzato, abbia già infettato molte più macchine. Sono due gli aspetti interessanti di questo nuovo virus scovato sui pc della Mela, ritenuti a torto più sicuri degli altri: il primo è che sembra progettato per traghettare qualcosa sui computer, ma non si sa ancora cosa visto che il virus al momento è innocuo. Si limita cioè a collegarsi al server di riferimento una volta all’ora, per controllare se ci siano comandi da eseguire o pacchetti da scaricare, e poi si ritira silenziosamente. Il secondo è che parrebbe dotato di un meccanismo di autodistruzione che sarebbe in grado di rimuovere ogni traccia del suo passaggio, una volta fatto quel che dovrà fare. Il che lascia pensare al frutto di un’operazione particolarmente sofisticata, non troppo comune per questo tipo di minacce.
In un post sul blog ufficiale Red Canary fornisce ulteriori dettagli, compreso il fatto di averne scoperti diversi tipi in grado appunto di colpire non solo i Mac equipaggiati con processori Intel, tutti quelli messi in commercio fino alla rivoluzione dello scorso autunno, ma anche i nuovissimi computer dotati di piattaforma proprietaria M1 basati su architettura Arm. Un aspetto, questo, che inquieta non poco considerando appunto che sono appena stati lanciati sul mercato: sono il cuore dei nuovi Mac mini, MacBook Air e MacBook Pro (13 pollici) svelati alla fine del 2020 e sono note pochissime vulnerabilità sul loro conto. La prima era stata scoperta proprio pochi giorni fa dal ricercatore Patrick Wardle di Objective-See: si tratta di un adware installato tramite un’estensione per Safari, una variante del noto adware Pirrit per Mac.
Secondo gli esperti, Silver Sparrow potrebbe essere in fase di distribuzione e iniziare a fare il suo (sporco) lavoro solo una volta raggiunta un’“infezione” diffusa su scala internazionale e su un numero ancora più elevato di “endpoint”. In ogni caso, già ora le macchine in cui è stato individuato sono installate in 153 paesi sebbene concentrate soprattutto in Canada, Francia, Germania, Regno Unito e ovviamente Stati Uniti. A quanto pare, dall’analisi del codice il virus si baserebbe sull’infrastruttura cloud di Amazon Web Services e sulla piattaforma di Akamai per la distribuzione dei contenuti. Ma il punto è proprio questo: al momento non sta distribuendo nulla e non c’è chiarezza sulla sua finalità malevola. Non c’è alcuna prova che sia stato utilizzato in qualche modo, anche se è probabile, e Apple sarebbe già corsa ai ripari, impedendone l’installazione e revocando i certificati.
“L’assenza di scaricamento di programmi o comandi suggerisce che il malware possa entrare in azione una volta che una specifica condizione, al momento sconosciuta, venga raggiunta” scrive il sito Ars Technica che ne ha dato conto nel modo più esaustivo. Così come non c’è traccia del fatto che la funzionalità di autodistruzione del virus – che sfrutta le l’Api JavaScript Installer di macOS – sia stata utilizzata. Sollevando dunque dubbi e domande sulle reali ragioni per cui sia stato implementato. Ad aggiungere un tocco di mistero, il messaggio che viene visualizzato quando il pacchetto malware viene eseguito su Mac basati su Intel. Dalla versione per i Mac con i chip del vecchio fornitore salta fuori una finestra vuota con il messaggio “Hello, World!”. Sui Mac equipaggiati con M1, invece, il binario dannoso apre una finestra a sfondo rosso contenente il messaggio “You did it!”. Per gli analisti niente più che dei placeholder, “finestre” pronte per portare il messaggio futuro fuori dall’esecuzione del codice.
“Sebbene non abbiamo ancora osservato Silver Sparrow fornire payload dannosi aggiuntivi – spiegano gli esperti di Red Canary nell’analisi – la sua compatibilità con i chip M1, la portata globale, il tasso di infezione relativamente alto e la maturità operativa suggeriscono che Silver Sparrow è una minaccia ragionevolmente seria, in posizione unica per fornire un carico utile potenzialmente impattante al momento opportuno”. Insomma, una specie di infezione latente, una potenziale bomba a orologeria che si sta facendo strada e potrebbe scatenare i suoi effetti solo al verificarsi di determinate condizioni. Nessuno sa quali. L’uso di Amazon Web Services e Akamai rende fra l’altro il blocco dei server ben più complicato che in altre situazioni simili.
Nello specifico, una volta installato Silver Sparrow cerca la URL da cui è stato scaricato il pacchetto di installazione, probabilmente per segnalare a chi lo controlla quali canali di distribuzione hanno avuto più successo. Per chi volesse controllare se il proprio Mac sia “portatore sano” dell’enigmatico virus, Red Canary ha stilato una serie di istruzioni per effettuare le verifiche sulla propria macchina.
