- 전 세계 거의 30,000대의 맥에서 발견된 새로운 멀웨어가 보안 업계에서 의구심을 일으키고 있는데, 보안 전문가들은 이 멀웨어가 정확히 무엇을 하고 무슨 목적으로 자폭 능력까지 가졌는지를 알아내려 노력 중

- 1시간에 1번, 감염된 맥은 통제 서버에 멀웨어가 수행할 명령이나 실행 파일이 있는지를 확인. 하지만 지금까지는 어떤 명령 전달도 이뤄지지 않은 것으로 보임. 현재 최종적인 목표는 알 수 없지만, 알려지지 않은 어떤 조건이 충족되면 멀웨어가 행동을 개시하는 게 아닌가 추정

- 이 멀웨어는 또한 스스로를 삭제하는 기능을 가지고 있는데 아직까지는 이 기능이 사용된 적이 없는 것으로 보임. 이런 스텔스 기능을 왜 가지고 있는지도 의문

- 멀웨어는 작년 11월에 출시된 M1 칩에서 네이티브로 실행되는 버전도 존재(M1 네이티브한 멀웨어로는 2번째). 명령을 실행하기 위해 맥OS 자바스크립트 API를 이용하기 때문에, 인스톨 패키지의 내용물이나 패키지가 자바스크립트 코맨드를 사용하는 방식을 분석하기 어려움

- 멀웨어는 153개국에서 발견되었는데, 미국, 영국, 캐나다, 프랑스, 독일에 집중되어 있음. 멀웨어가 AWS와 Akamai CDN을 사용하기 때문에 명령 체계 운영이 안정적이고 서버를 차단하기가 어려움. 멀웨어를 발견한 Red Canary의 보안연구자들은 이를 실버 스패로우(Silver Sparrow)로 명명

- 실버 스패로우는 인텔 x86_64용 mach-object 포맷과 M1용 Mach-O 2가지 버전이 있음

- 지금까지는 양쪽 버전 모두 특정한 활동을 개시하지 않음. 특이하게도 바이너리가 실행되면, x86_64버전은 “Hello World!”를 출력하고, M1 버전은 “You did it!”을 출력. 연구진은 이들이 자바스크립트 실행을 넘어 콘텐츠를 배포하기 위해 인스톨러에게 뭔가를 제공하는 매개체라고 생각. 

- 설치된 실버 스패로우는 인스톨러 패키지가 다운로드된 URL이 무엇이었는지를 검색하는데, 어떤 배포 채널이 가장 성공적이었는지를 멀웨어 운영자들이 파악하기 위한 목적으로 보임. 정확히 어떻게 그리고 어디로부터 멀웨어가 배포되었고 인스톨되었는지는 불분명한 상태. 하지만 URL 확인 절차는 악의적인 검색 결과가 배포 채널 중에 하나임을 시사하고, 이 경우 인스톨러는 정상적인 앱인 것처럼 가장했을 가능성이 큼

- 애플은 멀웨어 발견 후 개발자 인증을 취소했으며, 아직까지 멀웨어가 실질적으로 해를 입히는 추가 명령이나 콘텐츠를 전달한 증거는 없다고 코멘트

- 실버 스패로우가 가장 인상적인 점은 감염시킨 맥의 숫자임. Red Canary와 협업 중인 Malwarebytes는 지난 주 수요일까지 29,139대의 맥에서 실버 스패로우를 발견했다고 확인. 이는 상당한 규모지만 실제로는 이보다 더 많은 가능성이 큼