Как да разберете дали злонамерен софтуер Silver Sparrow се крие на вашия Mac
Графика: Cult of Mac/Red Canary
Някои от първите зловредни програми, насочени както към M-серия, така и към Intel Mac, засегнаха хиляди компютри. В този момент зловредният код - наречен „Сребърно врабче“ - не е опасен и Apple може да е извадила зъбите си. Но потребителите на най -новите macOS компютри все още може да искат да знаят дали устройството им го има. Същото важи и за собствениците на Mac базирани на Intel.
Ето как да разберете дали компютърът ви е бил ударен.
Кратък опит за сребърното врабче
Silver Sparrow използва уязвимост в JavaScript API на macOS Installer като начин за изпълнение на хитри команди. Това каза, че професионалистите по сигурността в Червен канарче казват, че единственият полезен товар са няколко приложения с заместители. Версията за Mac от серия M показва само съобщение, което казва: „Ти го направи!“
Но, както бе споменато, това може да засегне както Mac, така и Intel. И това го прави почти уникален. Apple представи първите Mac, използващи своя M1 процесор през ноември 2020 г. Те изискват софтуер да бъде прекомпилиран за новата архитектура. И това включва зловреден софтуер. Но хакерите очевидно не бяха изумени, което доведе до създаването на Silver Sparrow.
За повече информация прочетете Култът към MacНовинарската статия от понеделник, „Apple засилва борбата срещу зловредния софтуер Silver Sparrow, насочен към M1 Mac.”
Ловуване на дратирана птица
Първият доклад за Silver Sparrow пристигна на 18 февруари и изследователите по сигурността продължават да събират информация. В този момент те дори не знаят как се разпространява зловредният софтуер.
Но те знаят някои от файловете, които добавя към засегнат Mac. Според Red Canary те включват:
~/Библиотека /._ insu
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist
Търсене с Finder (файлов мениджър на macOS) може да ги намери. Компютър, съдържащ тези файлове, очевидно е заразен със Silver Sparrow.
В момента изследователите знаят за две версии на Silver Sparrow. Една версия може да зарази само Intel Macs. Другият се занимава както с компютри от Intel, така и от серия М. По -долу са дадени подробности, които да търсите за всеки тип компютър.
Как да намерите версията за M-серия и Intel Macs
Версията на зловредния софтуер, която може да засегне Mac, работещи с M-серия или Intel, идва чрез:
update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
Полезният товар е:
tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af
Тази версия на Silver Sparrow също създава:
specialattributes.s3.amazonaws [.] com
~/Библиотека/Поддръжка на приложения/verx_updater/verx.sh
/tmp/verx
~/Library/Launchagents/verx.plist
~/Library/Launchagents/init_verx.plist
Отново търсене с Finder може да ги включи на заразено устройство.
Идентификаторът на разработчика на полезния товар е Джули Уили (MSZ3ZH74RK). Apple отмени този акаунт на програмист, за да предотврати по -нататъшното разпространение на зловредния софтуер Silver Sparrow.
Как да намерите оригиналната версия на Silver Sparrow за Intel Macs
Първата версия на Silver Sparrow може да зарази само Mac базирани на Intel. Влиза чрез:
Updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa
Полезният товар е:
Име на файла: Updater
MD5: c668003c9c5b1689ba47a431512b03cc
Тази версия на Silver Sparrow също създава:
mobiletraits.s3.amazonaws [.] com
~/Библиотека/Поддръжка на приложения/agent_updater/agent.sh
/tmp/agent
~/Library/Launchagents/agent.plist
~/Library/Launchagents/init_agent.plist
Двоичният подпис на полезния товар идва от ID на разработчика Saotia Seay (5834W6MYX3). Apple отмени и този акаунт на програмист.