Πώς να διαπιστώσετε εάν το κακόβουλο λογισμικό Silver Sparrow κρύβεται στο Mac σας
Γραφικό: Cult of Mac/Red Canary
Μερικά από τα πρώτα κακόβουλα προγράμματα που στοχεύουν τόσο στη σειρά M όσο και στην Intel Mac έχουν επηρεάσει χιλιάδες υπολογιστές. Σε αυτό το σημείο, ο κακόβουλος κώδικας - που ονομάζεται "Silver Sparrow" - δεν είναι επικίνδυνος και η Apple μπορεί να τράβηξε τα δόντια της. Αλλά οι χρήστες των πιο πρόσφατων υπολογιστών macOS μπορεί να θέλουν να μάθουν αν η συσκευή τους το διαθέτει. Και το ίδιο ισχύει για τους κατόχους Mac που βασίζονται στην Intel.
Δείτε πώς μπορείτε να μάθετε εάν ο υπολογιστής σας έχει χτυπήσει.
Ένα σύντομο υπόβαθρο για το Silver Sparrow
Το Silver Sparrow εκμεταλλεύεται μια ευπάθεια στο macOS Installer JavaScript API ως έναν τρόπο εκτέλεσης ακατάλληλων εντολών. Τούτου λεχθέντος, τα πλεονεκτήματα ασφάλειας στο Κόκκινο Καναρίνι λένε ότι το μόνο ωφέλιμο φορτίο είναι μερικές εφαρμογές κράτησης θέσης. Η έκδοση για Mac της σειράς M εμφανίζει μόνο ένα μήνυμα που λέει: «Το έκανες!»
Αλλά, όπως αναφέρθηκε, μπορεί να επηρεάσει τόσο τους υπολογιστές Intel όσο και τη σειρά M. Και αυτό το κάνει σχεδόν μοναδικό. Η Apple παρουσίασε τους πρώτους Mac χρησιμοποιώντας τον επεξεργαστή M1 τον Νοέμβριο του 2020. Απαιτούν ανασύνταξη λογισμικού για τη νέα αρχιτεκτονική. Και αυτό περιλαμβάνει κακόβουλο λογισμικό. Αλλά οι χάκερ σαφώς δεν ήταν ενοχλημένοι, οδηγώντας στη δημιουργία του Silver Sparrow.
Για περισσότερες πληροφορίες, διαβάστε Cult of MacΔημοσίευμα ειδήσεων από τη Δευτέρα, "Η Apple εντείνει τον αγώνα κατά του κακόβουλου λογισμικού Silver Sparrow που στοχεύει σε M1 Mac.”
Κυνήγι του πτηνού που έτρεξε
Η πρώτη αναφορά για το Silver Sparrow έφτασε στις 18 Φεβρουαρίου και οι ερευνητές ασφαλείας συνεχίζουν να συλλέγουν πληροφορίες. Σε αυτό το σημείο, δεν γνωρίζουν καν πώς διανέμεται το κακόβουλο λογισμικό.
Αλλά γνωρίζουν μερικά από τα αρχεία που προσθέτει σε έναν επηρεαζόμενο Mac. Σύμφωνα με το Red Canary, αυτά περιλαμβάνουν:
~/Library /._ ins
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist
Μια αναζήτηση με το Finder (ο διαχειριστής αρχείων macOS) μπορεί να τα εντοπίσει. Ένας υπολογιστής που περιέχει αυτά τα αρχεία είναι προφανώς μολυσμένος με Silver Sparrow.
Επί του παρόντος, οι ερευνητές γνωρίζουν δύο εκδόσεις του Silver Sparrow. Μια έκδοση μπορεί να μολύνει μόνο υπολογιστές Intel. Ο άλλος αναλαμβάνει υπολογιστές Intel και M-series. Παρακάτω υπάρχουν λεπτομέρειες που πρέπει να αναζητήσετε σε κάθε τύπο υπολογιστή.
Πώς να βρείτε την έκδοση για σειρά M και Intel Mac
Η έκδοση του κακόβουλου λογισμικού που μπορεί να επηρεάσει Mac που εκτελούν σειρά M ή Intel έρχεται μέσω:
update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
Το ωφέλιμο φορτίο είναι:
tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af
Αυτή η έκδοση του Silver Sparrow δημιουργεί επίσης:
specialattributes.s3.amazonaws [.] com
/Library/Application Support/verx_updater/verx.sh
/tmp/verx
/Library/Launchagents/verx.plist
/Library/Launchagents/init_verx.plist
Και πάλι, μια αναζήτηση με το Finder μπορεί να τα ενεργοποιήσει σε μια μολυσμένη συσκευή.
Το αναγνωριστικό προγραμματιστή του ωφέλιμου φορτίου είναι η Julie Willey (MSZ3ZH74RK). Η Apple ανακάλεσε αυτόν τον λογαριασμό προγραμματιστή για να αποτρέψει την περαιτέρω εξάπλωση του κακόβουλου λογισμικού Silver Sparrow.
Πώς να βρείτε την αρχική έκδοση του Silver Sparrow για υπολογιστές Intel
Η πρώτη έκδοση του Silver Sparrow μπορεί να μολύνει μόνο Mac που βασίζονται στην Intel. Εισέρχεται μέσω:
updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa
Το ωφέλιμο φορτίο είναι:
Όνομα αρχείου: Updater
MD5: c668003c9c5b1689ba47a431512b03cc
Αυτή η έκδοση του Silver Sparrow δημιουργεί επίσης:
mobiletraits.s3.amazonaws [.] com
~/Library/Application Support/agent_updater/agent.sh
/tmp/agent
~/Library/Launchagents/agent.plist
/Library/Launchagents/init_agent.plist
Η δυαδική υπογραφή του ωφέλιμου φορτίου προέρχεται από το Developer ID Saotia Seay (5834W6MYX3). Η Apple ανακάλεσε και αυτόν τον λογαριασμό προγραμματιστή.
