Jak zjistit, zda se na vašem Macu skrývá malware Silver Sparrow
Grafika: Cult of Mac/Red Canary
Některé z prvních malware cílících na počítače řady M i Intel Mac postihly tisíce počítačů. V tomto okamžiku škodlivý kód - nazývaný „Silver Sparrow“ - není nebezpečný a Apple si možná vytrhl zuby. Uživatelé nejnovějších počítačů se systémem MacOS by přesto mohli chtít vědět, zda to jejich zařízení má. A to samé platí pro majitele počítačů Mac s procesorem Intel.
Zde zjistíte, zda byl počítač zasažen.
Krátké pozadí o Silver Sparrow
Silver Sparrow využívá zranitelnost v JavaScriptu API Installer jako způsob provádění riskantních příkazů. To znamená, že bezpečnostní profesionálové na Červený kanárek řekněme, že jediným užitečným zatížením je pár zástupných aplikací. Verze pro počítače Mac řady M zobrazuje pouze zprávu, která říká: „Dokázal jsi to!“
Ale, jak již bylo zmíněno, může to mít vliv na počítače Mac řady Intel i M. A díky tomu je téměř jedinečný. Společnost Apple představila první počítače Mac s procesorem M1 v listopadu 2020. Vyžadují rekompilaci softwaru pro novou architekturu. A to včetně malwaru. Hackeři však zjevně nebyli znepokojeni, což vedlo k vytvoření Silver Sparrow.
Pro více informací čtěte Kult MacZpravodajský článek z pondělí „Apple zintenzivňuje boj proti malwaru Silver Sparrow, který se zaměřuje na počítače Mac M1.”
Lov opuštěného ptáka
První zpráva o Silver Sparrow dorazila 18. února a bezpečnostní výzkumníci nadále shromažďují informace. V tuto chvíli ani nevědí, jak je malware distribuován.
Ale znají některé soubory, které přidává na postižený Mac. Podle Red Canary mezi ně patří:
~/Knihovna /._ ins
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist
Vyhledat je může Finder (správce souborů macOS). Počítač obsahující tyto soubory je zřejmě napaden Silver Sparrow.
V současné době vědci vědí o dvou verzích Silver Sparrow. Jedna verze může infikovat pouze počítače Intel Mac. Druhý převezme počítače Intel i řady M. Níže jsou uvedeny podrobnosti, které je třeba hledat na každém typu počítače.
Jak najít verzi pro řadu M a Intel Mac
Verze malwaru, který může ovlivnit počítače Mac se systémem M nebo Intel, přichází prostřednictvím:
update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
Užitečné zatížení je:
tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af
Tato verze Silver Sparrow také vytváří:
specialattributes.s3.amazonaws [.] com
~/Library/Application Support/verx_updater/verx.sh
/tmp/verx
~/Library/Launchagents/verx.plist
~/Library/Launchagents/init_verx.plist
Vyhledávání pomocí Finderu je může znovu zapnout na infikovaném zařízení.
ID vývojáře užitečného zatížení je Julie Willey (MSZ3ZH74RK). Společnost Apple tento vývojářský účet zrušila, aby zabránila dalšímu šíření malwaru Silver Sparrow.
Jak najít původní verzi Silver Sparrow pro počítače Intel Mac
První verze Silver Sparrow může infikovat pouze počítače Mac s procesorem Intel. Přichází skrz:
updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa
Užitečné zatížení je:
Název souboru: aktualizátor
MD5: c668003c9c5b1689ba47a431512b03cc
Tato verze Silver Sparrow také vytváří:
mobiletraits.s3.amazonaws [.] com
~/Library/Application Support/agent_updater/agent.sh
/tmp/agent
~/Library/Launchagents/agent.plist
~/Library/Launchagents/init_agent.plist
Binární podpis užitečného zatížení pochází z ID vývojáře Saotia Seay (5834W6MYX3). Apple také zrušil tento účet vývojáře.
