Kuinka tietää, onko Silver Sparrow -haittaohjelma piilotettu Macissa
Grafiikka: Cult of Mac/Red Canary
Jotkut ensimmäisistä haittaohjelmista, jotka on kohdistettu sekä M-sarjaan että Intel Mac-tietokoneisiin, ovat vaikuttaneet tuhansiin tietokoneisiin. Tässä vaiheessa haittaohjelma - nimeltään "Silver Sparrow" - ei ole vaarallinen, ja Apple on saattanut vetää hampaansa. Uusimpien MacOS -tietokoneiden käyttäjät saattavat silti haluta tietää, onko laitteessa sitä. Sama pätee Intel-pohjaisten Macien omistajiin.
Näin voit selvittää, onko tietokoneesi osunut.
Lyhyt tausta Silver Sparrowista
Silver Sparrow hyödyntää haavoittuvuutta macOS Installer JavaScript -sovellusliittymässä keinona suorittaa vääriä komentoja. Se sanoi, turvallisuus ammattilaiset klo Punainen Kanariansaari sanoa, että ainoa hyötykuorma on pari paikkamerkitsinsovellusta. M-sarjan Mac-versio näyttää vain viestin, jossa sanotaan: "Teit sen!"
Mutta kuten mainittiin, se voi vaikuttaa sekä Intel- että M-sarjan Mac-tietokoneisiin. Ja se tekee siitä melkein ainutlaatuisen. Apple esitteli ensimmäiset Macit M1 -prosessorillaan marraskuussa 2020. Ne edellyttävät ohjelmiston kääntämistä uudelleen uutta arkkitehtuuria varten. Ja tämä sisältää haittaohjelmat. Mutta hakkerit eivät selvästikään hämmästyneet, mikä johti Silver Sparrowin luomiseen.
Lisätietoja saat lukemalla Macin kulttiUutinen maanantaista, "Apple tehostaa taisteluaan Silver Sparrow -haittaohjelmia vastaan, jotka kohdistuvat M1 Mac -tietokoneisiin.”
Metsästetyn linnun metsästys
Ensimmäinen raportti Silver Sparrowista saapui 18. helmikuuta, ja tietoturvatutkijat keräävät edelleen tietoja. Tässä vaiheessa he eivät edes tiedä, miten haittaohjelma jaetaan.
Mutta he tietävät joitain tiedostoja, joita se lisää vaikuttavaan Maciin. Punaisen Kanarian mukaan nämä sisältävät:
~/Kirjasto/
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist
Haku Finderilla (macOS -tiedostonhallinta) voi löytää ne. Tietokone, joka sisältää nämä tiedostot, on ilmeisesti saastunut Silver Sparrow'lla.
Tällä hetkellä tutkijat tietävät kaksi Silver Sparrow -versiota. Yksi versio voi tartuttaa vain Intel Macit. Toinen ottaa käyttöön sekä Intel- että M-sarjan tietokoneet. Alla on tietoja, joita kannattaa etsiä kullakin tietokoneella.
Kuinka löytää versio M-sarjalle ja Intel Macille
Haittaohjelman versio, joka voi vaikuttaa Mac-tietokoneisiin, joissa on M-sarja tai Intel, tulee läpi:
update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
Hyötykuorma on:
tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af
Tämä Silver Sparrow -versio luo myös:
specialattributes.s3.amazonaws [.] com
~/Kirjasto/Sovellustuki/verx_updater/verx.sh
/tmp/verx
~/Kirjasto/Launchagents/verx.plist
~/Kirjasto/Launchagents/init_verx.plist
Jälleen haku Finderin avulla voi saada nämä esiin tartunnan saaneella laitteella.
Hyötykuorman kehittäjätunnus on Julie Willey (MSZ3ZH74RK). Apple peruutti tämän kehittäjätilin estääkseen Silver Sparrow -haittaohjelman leviämisen edelleen.
Kuinka löytää Silver Sparrowin alkuperäinen versio Intel Mac -tietokoneille
Silver Sparrow'n ensimmäinen versio voi tartuttaa vain Intel-pohjaisia Mac-tietokoneita. Se tulee läpi:
päivitin.pkg
MD5: 30c9bc7d40454e501c358f77449071aa
Hyötykuorma on:
Tiedostonimi: päivitin
MD5: c668003c9c5b1689ba47a431512b03cc
Tämä Silver Sparrow -versio luo myös:
mobiletraits.s3.amazonaws [.] com
~/Kirjasto/Sovellustuki/agent_updater/agent.sh
/tmp/agent
~/Kirjasto/Launchagents/agent.plist
~/Kirjasto/Launchagents/init_agent.plist
Hyötykuorman binaarinen allekirjoitus tulee kehittäjätunnukselta Saotia Seay (5834W6MYX3). Apple on myös peruuttanut tämän kehittäjätilin.
