"Silver Sparrow" gibt den Forschern Rätsel auf.

Foto: AP

Wird eine Schadsoftware entdeckt, so ist es für Sicherheitsexperten üblicherweise nicht mehr allzu schwierig herauszufinden, was sie bewirkt. Erpressungstrojaner verschlüsseln Daten, andere Exemplare greifen lieber Daten aller Art ab, und manche Malware geht auf einen Zerstörungstrip.

Nicht so bei einer neuen Schadsoftware für Macs. Sie wurde "Silver Sparrow" genannt und soll weltweit laut Daten von Malwarebytes bereits mindestens 30.000 Apple-Laptops in 153 Ländern infiziert haben. Die reale Zahl könnte deutlich höher liegen. Den Schädling zeichnet aus, dass er nativ auf Apples noch recht junger M1-Plattform läuft. Darüber hinaus gibt die bösartige Software den Security-Experten von Red Canary und Malwarebytes aber noch Rätsel auf, wie "Ars Technica" berichtet.

Noch keine Payload geladen

Man weiß, dass sie regelmäßig mit einem Kontrollserver kommuniziert und neue Kommandos abfragt. Das tut andere Schadsoftware auch und lädt auf diesem Wege üblicherweise gefährliche Fracht (Payload) nach. Dabei handelt es sich um "Module" in Form von Programmbibliotheken und ausführbaren Dateien, die dann die eigentlichen Werkzeuge des Angriffs sind.

Doch der "Silberspatz" ist bis jetzt inaktiv geblieben. Über das Warum wird nun gerätselt. Man spekuliert, dass es zur Erfüllung einer bestimmten Bedingung kommen muss, ehe die Attack startet, tappt aber noch im Dunklen darüber, welche Bedingung das sein könnte. Die Analyse des Malware-Pakets ist obendrein sehr schwer, weil es Gebrauch von der Javascript-basierten Installer-Schnittstelle von Mac OS macht. Die Forscher gehen jedenfalls von signifikantem Gefährdungspotenzial aus, zumal seine Ausbreitung bis jetzt schon beachtlich sei.

Selbstzerstörungsfähig

Was man ebenfalls noch weiß: Der Schädling verfügt über eine Selbstzerstörungsfunktion, mit der er sich spurlos vom System verabschiedet. Eine solche Funktion findet sich typischerweise eigentlich in Malware für gezielte Angriffe, die mit großem Aufwand verborgen gehalten werden. Apple hat die Entwicklerzertifikate, auf welche die zwei bisher gesichteten Versionen von "Silver Sparrow" zurückgreifen, deaktiviert, um weitere Verbreitung einzudämmen. Man betont ebenfalls, dass bislang noch kein Fall bekannt ist, in dem die Malware bösartigen Code nachgeladen hätte.

Ungeklärt ist, wie sich der Schädling überhaupt verbreitet. Eine Schätzung geht in Richtung manipulierter Suchresultate, in denen der Installer sich als harmlose App ausgibt. Nutzer können selber prüfen, ob sich die Malware auf ihrem Rechner eingenistet hat. Im Blogeintrag von Red Canary wird auf eine Reihe von Dateien verwiesen, deren Vorhandensein eine Infektion nachweist. (red, 21.2.2021)