Les chercheurs de Malwarebytes et Red Canary l’ont déjà repéré à l’intérieur d’environ 30 000 Mac, les ordinateurs d’Apple sans distinction entre portables et ordinateurs de bureau. Mais il est probable que Silver Sparrow, comme ils l’ont baptisé, a déjà infecté beaucoup d’autres machines. Il y a deux aspects intéressants de ce nouveau virus que l’on trouve sur les PC d’Apple, que l’on croit à tort plus sûrs que les autres : le premier est qu’il semble conçu pour transporter quelque chose sur les ordinateurs, mais on ne sait pas encore quoi puisque le virus est actuellement inoffensif. C’est-à-dire qu’il se limite à se connecter au serveur de référence une fois par heure, pour vérifier s’il y a des commandes à exécuter ou des paquets à télécharger, puis il se retire silencieusement. La seconde est qu’il semble être équipé d’un mécanisme d’autodestruction qui serait capable de supprimer toute trace de son passage, une fois qu’il a fait ce qu’il est censé faire. Cela suggère le résultat d’une opération particulièrement sophistiquée, pas trop courante pour ce type de menace.
Dans un billet sur le blog officiel, Red Canary fournit de plus amples détails, notamment le fait d’avoir découvert différents types capables de toucher non seulement les Mac équipés de processeurs Intel, tous ceux mis sur le marché jusqu’à la révolution de l’automne dernier, mais aussi les tout nouveaux ordinateurs équipés de la plate-forme propriétaire M1 basée sur l’architecture Arm. Un aspect, celui-ci, qui n’est pas peu inquiétant si l’on considère précisément qu’ils viennent d’être lancés sur le marché : ils sont le cœur des nouveaux Mac mini, MacBook Air et MacBook Pro (13 pouces) dévoilés fin 2020 et ne présentent que très peu de vulnérabilités connues à leur égard. Le premier a été découvert il y a quelques jours par le chercheur Patrick Wardle d’Objective-See : il s’agit d’un adware installé via une extension pour Safari, une variante du célèbre adware Pirrit pour Mac.
Selon les experts, Silver Sparrow pourrait être en phase de distribution et ne commencer à faire son travail (sale) que lorsqu’il aura atteint une “infection” internationalement répandue et sur encore plus de “points terminaux”. En tout cas, les machines dans lesquelles elle a été détectée sont déjà installées dans 153 pays, bien que concentrées principalement au Canada, en France, en Allemagne, au Royaume-Uni et évidemment aux États-Unis. Apparemment, d’après l’analyse du code, le virus serait basé sur l’infrastructure en nuage d’Amazon Web Services et la plate-forme d’Akamai pour la distribution de contenu. Mais voilà le problème : il ne distribue rien actuellement, et son but malveillant n’est pas clair. Rien ne prouve qu’il soit utilisé de quelque manière que ce soit, bien que cela soit probable, et Apple se serait déjà couvert en empêchant son installation et en révoquant les certificats.
“L’absence de téléchargement de programmes ou de commandes suggère que le malware peut entrer en action une fois qu’une condition spécifique, actuellement inconnue, est atteinte”, écrit le site Ars Technica, qui en donne le compte-rendu le plus complet. Tout comme il n’y a aucune trace de l’utilisation de la fonction d’autodestruction du virus – qui utilise l’API d’installation JavaScript de MacOS. Ce qui soulève des doutes et des questions sur les véritables raisons de sa mise en œuvre. Le message qui s’affiche lorsque le logiciel malveillant est exécuté sur des Macs à processeur Intel ajoute au mystère. A partir de la version pour Mac avec les puces de l’ancien fournisseur, une fenêtre vide apparaît avec le message “Hello, World ! Sur les Macs équipés de M1, cependant, le binaire malveillant ouvre une fenêtre sur fond rouge et le message “Vous l’avez fait ! Pour les analystes, il ne s’agit que de placettes, de “fenêtres” prêtes à retirer le futur message de l’exécution du code.
“Bien que nous n’ayons pas encore observé Silver Sparrow livrer des charges utiles malveillantes supplémentaires”, expliquent les experts de Red Canary dans l’analyse, “sa compatibilité avec les puces M1, sa portée mondiale, son taux d’infection relativement élevé et sa maturité opérationnelle suggèrent que Silver Sparrow est une menace raisonnablement sérieuse, en position unique pour livrer une charge utile potentiellement impactante au moment opportun. Bref, une sorte d’infection latente, une bombe à retardement potentielle qui fait son chemin et qui ne pourrait déclencher ses effets que lorsque certaines conditions sont réunies. Personne ne sait lesquels. Entre autres, l’utilisation d’Amazon Web Services et d’Akamai rend le blocage des serveurs beaucoup plus compliqué que dans d’autres situations similaires.
Plus précisément, une fois Silver Sparrow installé, il recherche l’URL à partir de laquelle le package d’installation a été téléchargé, probablement pour indiquer à ceux qui le contrôlent quels sont les canaux de distribution qui ont eu le plus de succès. Pour ceux qui veulent vérifier si leur Mac est un “porteur sain” de l’énigmatique virus, Red Canary a compilé une série d’instructions pour effectuer les vérifications sur leur machine.
