Comment savoir si le malware Silver Sparrow se cache sur votre Mac
Graphique: Cult of Mac/Red Canary
Certains des premiers logiciels malveillants ciblant à la fois les Mac de la série M et Intel ont affecté des milliers d'ordinateurs. À ce stade, le code malveillant - appelé "Silver Sparrow" - n'est pas dangereux et Apple a peut-être arraché ses dents. Mais les utilisateurs des derniers ordinateurs macOS peuvent toujours vouloir savoir si leur appareil en est équipé. Et il en va de même pour les propriétaires de Mac à processeur Intel.
Voici comment savoir si votre ordinateur a été touché.
Un bref historique sur Silver Sparrow
Silver Sparrow exploite une vulnérabilité dans l'API JavaScript du programme d'installation macOS pour exécuter des commandes douteuses. Cela dit, les professionnels de la sécurité chez Canari rouge dire que la seule charge utile est quelques applications d'espace réservé. La version pour les Mac de la série M n'affiche qu'un message indiquant: « Vous l'avez fait! »
Mais, comme mentionné, cela peut affecter à la fois les Mac Intel et les Mac de la série M. Et cela le rend presque unique. Apple a présenté les premiers Mac utilisant son processeur M1 en novembre 2020. Ils nécessitent la recompilation du logiciel pour la nouvelle architecture. Et cela inclut les logiciels malveillants. Mais les pirates n'étaient clairement pas déconcertés, ce qui a conduit à la création de Silver Sparrow.
Pour plus d'informations, lisez Culte de Macl'article de lundi de "Apple intensifie sa lutte contre le malware Silver Sparrow qui cible les Mac M1.”
Chasser l'oiseau ratatiné
Le premier rapport sur Silver Sparrow est arrivé le 18 février et les chercheurs en sécurité continuent de recueillir des informations. À ce stade, ils ne savent même pas comment le malware est distribué.
Mais ils connaissent certains des fichiers qu'il ajoute à un Mac affecté. Selon Red Canary, ceux-ci incluent :
~/Bibliothèque/._insu
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist
Une recherche avec le Finder (le gestionnaire de fichiers macOS) peut les localiser. Un ordinateur contenant ces fichiers est apparemment infecté par Silver Sparrow.
Actuellement, les chercheurs connaissent deux versions de Silver Sparrow. Une version ne peut infecter que les Mac Intel. L'autre prend en charge les ordinateurs Intel et M-series. Vous trouverez ci-dessous les détails à rechercher sur chaque type d'ordinateur.
Comment trouver la version pour la série M et les Mac Intel
La version du logiciel malveillant qui peut affecter les Mac exécutant la série M ou Intel est disponible via :
update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
La charge utile est :
tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af
Cette version de Silver Sparrow crée également :
attributs spéciaux.s3.amazonaws[.]com
~/Bibliothèque/Application Support/verx_updater/verx.sh
/tmp/verx
~/Bibliothèque/Launchagents/verx.plist
~/Bibliothèque/Launchagents/init_verx.plist
Encore une fois, une recherche avec le Finder peut les faire apparaître sur un appareil infecté.
L'ID de développeur de la charge utile est Julie Willey (MSZ3ZH74RK). Apple a révoqué ce compte de développeur pour empêcher la propagation du malware Silver Sparrow.
Comment trouver la version originale de Silver Sparrow pour les Mac Intel
La première version de Silver Sparrow ne peut infecter que les Mac à processeur Intel. Il entre par :
updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa
La charge utile est :
Nom du fichier: mise à jour
MD5: c668003c9c5b1689ba47a431512b03cc
Cette version de Silver Sparrow crée également :
mobiletraits.s3.amazonaws[.]com
~/Bibliothèque/Application Support/agent_updater/agent.sh
/tmp/agent
~/Bibliothèque/Launchagents/agent.plist
~/Bibliothèque/Launchagents/init_agent.plist
La signature binaire de la charge utile provient de l'ID de développeur Saotia Seay (5834W6MYX3). Apple a également révoqué ce compte de développeur.