Quel est ce mystérieux virus, « Silver Sparrow », qui aurait infecté 30 000 Mac dans au moins 153 pays, et dont la finalité n’a pour l’instant pas été déterminée par les experts en cybersécurité ?
30 000 Mac infectés par un virus
C’est un coup dur pour tous ceux qui pensaient que les Mac, Mac Intel comme Mac Apple Silicon, étaient immunisés contre les logiciels malveillants et les virus. Répondant au nom de « Silver Sparrow », un malware a ainsi été détecté dans le courant de ce mois de février sur près de 30 000 Mac et ce, dans 153 pays à travers le monde. Une découverte faite entre autres par les chercheurs en sécurité de Red Canary, qui ont lancé l’alerte.
Si, pour l’heure, « Silver Sparrow » n’a pas encore fait de dégâts, il inquiète fortement les experts en cybersécurité par le fait qu’ils ne connaissent pas son objectif final mais aussi par son ampleur. Ce virus serait toutefois programmé pour appeler un serveur distant une fois par heure en quête de nouvelles commandes à appliquer sur le système. Son mécanisme de mise à jour à distance contribue aussi à renforcer les craintes à son sujet, bien qu’il n’ait pour l’instant reçu aucune directive.
Silver Sparrow is a cluster of activity that includes a binary compiled to run on Apple’s new M1 chips but lacks one very important feature: a malicious payload. https://t.co/R0Iq5uBS4A #RCintel
— Red Canary (@redcanary) February 19, 2021
« Silver Sparrow », aussi mystérieux que sophistiqué…
Décidément très curieux dans son fonctionnement, le virus redouté serait doté d’un mécanisme de défense sophistiqué, lui permettant ainsi de se supprimer lui-même si le serveur distant lui en donne l’ordre. Une action qu’il n’a, pour l’instant, pas entrepris non plus.
Par ailleurs, ce « Silver Sparrow » se déclinerait dans plusieurs versions, une lui permettant de s’attaquer aux puces M1. Pour exécuter ces actions, il aurait recours à l’API JavaScript. Le virus sera-t-il déclenché à terme ? Si nul ne peut présager de la réponse, Apple a d’ores et déjà révoqué le certificat développeur du malware afin de bloquer son installation sur de nouvelles machines.
Dans l’optique d’anticiper une éventuelle situation critique pour les propriétaires de Mac qui seraient concernés, Red Canary donne quelques conseils destinés à repérer différents malwares. La procédure consiste notamment à vérifier si un processus PlistBuddy est en cours de fonctionnement en tapant une ligne de commande comprenant les éléments LaunchAgents, RunAtLoad et True. De même, il est nécessaire de vérifier si un processus sqlite3 est est en cours d’exécution en tapant une ligne de commande comprenant LSQuarantine. Même chose pour savoir si un processus curl est en est fonctionnement en tapant une ligne de commande s3.amazonaws.coms.
Enfin, rappel élémentaire, il est aussi fortement préconisé de ne pas télécharger de fichier inconnu.
Crédit photo : Wikimedia Commons (CC/iMahesh) (photo d’illustration)
[cc] Breizh-info.com, 2021, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine
