Bagaimana cara mengetahui apakah malware Silver Sparrow bersembunyi di Mac Anda
Gambar: Cult of Mac/Red Canary
Beberapa malware pertama yang menargetkan M-series dan Intel Mac telah mempengaruhi ribuan komputer. Pada titik ini, kode berbahaya - yang disebut "Silver Sparrow" - tidak berbahaya, dan Apple mungkin telah mencabut giginya. Tetapi pengguna komputer macOS terbaru mungkin masih ingin tahu apakah perangkat mereka memilikinya. Dan hal yang sama berlaku untuk pemilik Mac berbasis Intel.
Inilah cara mengetahui apakah komputer Anda terkena.
Latar belakang singkat tentang Silver Sparrow
Silver Sparrow mengeksploitasi kerentanan di MacOS Installer JavaScript API sebagai cara untuk menjalankan perintah yang cerdik. Yang mengatakan, pro keamanan di kenari merah mengatakan bahwa satu-satunya payload adalah beberapa aplikasi placeholder. Versi untuk Mac seri-M hanya menampilkan pesan yang mengatakan, "Anda berhasil!"
Namun, seperti yang disebutkan, ini dapat memengaruhi Intel dan Mac seri-M. Dan itu membuatnya hampir unik. Apple memperkenalkan Mac pertama yang menggunakan prosesor M1 pada November 2020. Mereka membutuhkan perangkat lunak untuk dikompilasi ulang untuk arsitektur baru. Dan itu termasuk malware. Tetapi peretas jelas tidak terganggu, yang mengarah pada penciptaan Silver Sparrow.
Untuk informasi lebih lanjut, baca Kultus Macartikel berita dari Senin, “Apple meningkatkan perang melawan malware Silver Sparrow yang menargetkan M1 Mac.”
Berburu burung drat
Laporan pertama tentang Silver Sparrow tiba pada 18 Februari, dan peneliti keamanan terus mengumpulkan informasi. Pada titik ini, mereka bahkan tidak tahu bagaimana malware itu didistribusikan.
Tapi mereka tahu beberapa file yang ditambahkan ke Mac yang terpengaruh. Menurut Red Canary, ini termasuk:
~/Library/._insu
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist
Pencarian dengan Finder (pengelola file macOS) dapat menemukannya. Komputer yang berisi file-file ini tampaknya terinfeksi Silver Sparrow.
Saat ini, peneliti mengetahui dua versi Silver Sparrow. Satu versi hanya dapat menginfeksi Intel Mac. Yang lainnya menggunakan komputer Intel dan M-series. Di bawah ini adalah rincian yang harus dicari pada setiap jenis komputer.
Cara menemukan versi untuk M-series dan Intel Mac
Versi malware yang dapat memengaruhi Mac yang menjalankan M-series atau Intel masuk melalui:
update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
muatannya adalah:
tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af
Versi Silver Sparrow ini juga membuat:
specialattributes.s3.amazonaws[.]com
~/Library/Application Support/verx_updater/verx.sh
/tmp/verx
~/Library/Launchagents/verx.plist
~/Library/Launchagents/init_verx.plist
Sekali lagi, pencarian dengan Finder dapat memunculkannya di perangkat yang terinfeksi.
ID Pengembang payload adalah Julie Willey (MSZ3ZH74RK). Apple mencabut akun pengembang ini untuk membantu mencegah penyebaran lebih lanjut dari malware Silver Sparrow.
Cara menemukan versi asli Silver Sparrow untuk Intel Mac
Versi pertama Silver Sparrow hanya dapat menginfeksi Mac berbasis Intel. Itu masuk melalui:
updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa
muatannya adalah:
Nama file: updater
MD5: c668003c9c5b1689ba47a431512b03cc
Versi Silver Sparrow ini juga membuat:
mobiletraits.s3.amazonaws[.]com
~/Library/Application Support/agent_updater/agent.sh
/tmp/agent
~/Library/Launchagents/agent.plist
~/Library/Launchagents/init_agent.plist
Tanda tangan biner payload berasal dari ID Pengembang Saotia Seay (5834W6MYX3). Apple juga mencabut akun pengembang ini.
