Onderzoekers hebben op bijna 30.000 Macs met de nieuwe M1-chipset een malware-variant aangetroffen die compatibel is met die architectuur. Het is niet de eerste voor M1 op maat gemaakte malware in het wild, maar opvallend is dat hij nog geen payload heeft.
De onderzoekers stellen tegenover Ars Technica dat de malware contact houdt met command & control-servers die bij Amazon en Akamai gehost zijn, waardoor ze moeilijk te blokkeren zijn. Wat precies het startsignaal voor de malware is, is ook niet bekend. Wie nu de binaries van de malware zelf uitvoert, wordt alleen begroet met de berichten 'Hello World!' en 'You did it!'. Opvallend is verder dat de malware een zelfvernietigingsmechanisme heeft, zodat het geen overtollige sporen achterlaat na het inzetten van de payload.
Wat al wel duidelijk is, is dat de malware aardig besmettelijk is. De onderzoekers van Red Canary stellen dat dat onder andere komt doordat er ook compatibiliteit is voor x86_x64-processors, waar oudere Macs op draaien. Ars Technica noemt de bijna 30.000 ontdekte infecties 'indrukwekkend'. De besmettingen zijn voornamelijk geconcentreerd in West-Europa. MalwareBytes tekent ook aan dat de werkelijke hoeveelheid besmettingen waarschijnlijk veel hoger is, aangezien ze ze niet allemaal hebben op weten te sporen.
De onderzoekers speculeren dat de malware zich wellicht verspreidt via malafide zoekresultaten en zich voordoet als een legitieme app. Dat denken ze omdat de malware na succesvolle installatie de url opvraagt waar de installer oorspronkelijk vandaan komt.
De researchers, die van Red Canary en MalwareBytes afkomen, stellen dat de informatie met de infosec-gemeenschap gedeeld moet worden, ondanks dat de malware momenteel nog niets doet. De malware, die ze Silver Sparrow noemen, zou in de toekomst een zeer schadelijke payload kunnen krijgen. In het rapport staat ook hoe Mac-gebruikers kunnen onderzoeken of de malware op hun systeem aanwezig is.