本文經AI新媒體量子位（公眾號ID:QbitAI）授權轉載，轉載請聯系出處。

蘋果新出的M1系列，正被惡意軟件“盯上”。

現在，一個名為“銀絲雀”（Silver Sparrow）的新型惡意軟件，已經悄悄入侵了全球153個國家的30000臺Mac。

傳播之廣、行動之隱蔽，幾乎讓網絡安全專家們措手不及。

而且，他們不僅無法掌控“銀絲雀”的傳播途徑，也還不清楚它的最終目的。

換而言之，它不僅隨時可能“自爆”，而且還能在“作案”后，無痕刪除自己。

隨時“自爆”的炸彈

這個名為“銀絲雀”的新型惡意軟件，獨特在什么地方？

首先，這是個用JavaScript編寫的惡意軟件，這對于MacOS來說非常罕見。

此外，它還特意為M1更新了一版軟件。現在的兩版軟件中，一個針對Intel系列Mac設備，另一個則針對基于M1的、以及舊版的Mac設備。

這個軟件的傳播速率高、覆蓋率廣、M1兼容性強，運行效果也良好，最關鍵的是，目前專家尚未發現它是如何傳播的。

專家發現，“銀絲雀”的基礎設施托管在亞馬遜云平臺（Amazon Web Services s3）上，這是大多數公司都在使用的云資源。

“銀絲雀”的可怕之處在于，安全研究人員發現，它現在還在蟄伏期（尚未發現其有效載荷）。

目前，解析兩個版本的文件結果，僅是這樣的（略帶惡意）：

而且，“銀絲雀”還具有“自毀”程序，可以在事后刪除自己，不留任何痕跡。

這款惡意軟件只是每小時向服務器發送一條消息，還沒有任何大動作，但是一旦滿足觸發條件，將產生嚴重后果。

如何檢查自己的Mac

截至目前，研究人員還不知道“銀絲雀”使用的是什么攻擊向量 （attack vector）。

攻擊向量指一種路徑或手段，黑客可以通過它訪問計算機或網絡服務器，以傳遞有效負載或惡意結果。

因此，目前還不清楚“銀絲雀”的攻擊目標是什么，僅能推測它可能是一款惡意廣告軟件。

不過他們發現，“銀絲雀”會在~/Library/LaunchAgent文件夾下生成plist文件。

也就是說，只要看到這個文件，你的電腦就可能被感染了（具體方法見文末）。

那么，真的就沒有任何防范措施了嗎？

一位HN網友給出了幾點基礎的建議。

首先，保持操作系統、瀏覽器及其他軟件的更新。此外，可以在瀏覽器中安裝uBlock Origin，這是個過濾瀏覽器內容的擴展程序，以及AdGuard Home等廣告攔截器。

其次，安裝一款防火墻，這位網友推薦了Little Snitch，可用于監視應用程序，以阻止或允許它們通過高級規則連接到網絡。（某些惡意軟件檢測到Little Snitch時，還會自動刪除）

最后，不要從不明來源安裝軟件。

無獨有偶

“銀絲雀”并非第一款針對M1系列Mac的惡意軟件。

事實上，就在一周前，還有人發現了另一款針對M1的惡意軟件GoSearch22。

這是一個惡意廣告軟件Pirrit的“升級版”，針對M1搭載的ARM64架構，對軟件進行了對應的修改。

GoSearch22能夠持續攻擊Mac設備，且普通用戶難以將其刪除。

它會將自己隱蔽成一個“瀏覽器擴展程序”，從Safari、Chrome等Mac瀏覽器上搜集數據，然后強制展示優惠券、廣告橫幅和惡意彈窗。

研究人員推測，GoSearch22的目的，是從廣告、用戶搜索結果中牟利，此外，也可能在未來開發出更多惡意功能。

目前，蘋果已經撤銷了Pirrit開發商使用的開發者證書。

但這些惡意軟件接二連三地出現，也在逼迫著殺毒引擎進行升級。

殺毒軟件亟待升級

就在上周，專家們利用GoSearch22，對一系列殺毒引擎進行了“測試”。

他們發現，竟然有接近15%的殺毒引擎，沒能檢測出GoSearch22的存在，但基本都能檢測出它的上一個版本Pirrit。

也就是說，已有的殺毒引擎，仍然在針對x86_64平臺進行防護，然而對于根據ARM架構編寫的惡意軟件，卻沒有“招架之力”。

意味著，這些針對x86_64平臺編寫的病毒分析工具或防病毒引擎，可能無法處理ARM64二進制文件。

因此，能否檢測出這些為ARM架構編寫的惡意軟件（“銀絲雀”、GoSearch22等），已經成為殺毒軟件評判的新標準。

在殺毒軟件與惡意軟件的“博弈”之下，如何進行軟件安全迭代升級？

M1還有很長的路要走。

完整檢測方法：

https://redcanary.com/blog/clipping-silver-sparrows-wings/