Jak sprawdzić, czy złośliwe oprogramowanie Silver Sparrow ukrywa się na komputerze Mac?
Grafika: Kult Maca/Czerwonych Kanarek
Niektóre z pierwszych szkodliwych programów atakujących zarówno serie M, jak i komputery Mac z procesorem Intel, zaatakowały tysiące komputerów. W tym momencie złośliwy kod – zwany „Srebrnym Wróblem” – nie jest niebezpieczny, a Apple mógł wyrwać sobie zęby. Ale użytkownicy najnowszych komputerów z systemem macOS nadal mogą chcieć wiedzieć, czy ich urządzenie go ma. To samo dotyczy posiadaczy komputerów Mac z procesorami Intela.
Oto jak sprawdzić, czy Twój komputer został trafiony.
Krótkie tło na temat Silver Sparrow
Silver Sparrow wykorzystuje lukę w macOS Installer JavaScript API jako sposób na wykonanie podejrzanych poleceń. To powiedziawszy, specjaliści od bezpieczeństwa w Czerwony Kanarek powiedzmy, że jedynym ładunkiem jest kilka aplikacji zastępczych. Wersja dla komputerów Mac z serii M wyświetla tylko komunikat „Zrobiłeś to!”
Ale, jak wspomniano, może wpływać zarówno na komputery Mac z serii Intel, jak i M. A to czyni go niemal wyjątkowym. Apple wprowadziło pierwsze komputery Mac z procesorem M1 w listopadzie 2020 roku. Wymagają one przekompilowania oprogramowania dla nowej architektury. Obejmuje to złośliwe oprogramowanie. Ale hakerzy najwyraźniej nie byli zaskoczeni, co doprowadziło do stworzenia Silver Sparrow.
Aby uzyskać więcej informacji, przeczytaj Kult Macaartykuł z poniedziałku, „Apple intensyfikuje walkę ze złośliwym oprogramowaniem Silver Sparrow, które atakuje komputery Mac M1.”
Polowanie na przeklętego ptaka
Pierwszy raport na temat Silver Sparrow pojawił się 18 lutego, a analitycy bezpieczeństwa nadal zbierają informacje. W tym momencie nie wiedzą nawet, w jaki sposób rozprzestrzenia się złośliwe oprogramowanie.
Ale znają niektóre pliki, które dodaje do dotkniętego komputera Mac. Według Red Canary są to:
~/Biblioteka/._insu
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist
Wyszukiwanie za pomocą Findera (menedżera plików macOS) może je zlokalizować. Komputer zawierający te pliki jest najwyraźniej zainfekowany Silver Sparrow.
Obecnie badacze znają dwie wersje srebrnego wróbla. Jedna wersja może infekować tylko komputery Intel Mac. Druga dotyczy zarówno komputerów Intel, jak i serii M. Poniżej znajdują się szczegóły, których należy szukać na każdym typie komputera.
Jak znaleźć wersję dla serii M i komputerów Mac z procesorem Intel
Wersja złośliwego oprogramowania, która może mieć wpływ na komputery Mac z serii M lub Intel, jest dostępna przez:
aktualizacja.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
Ładowność to:
tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af
Ta wersja Silver Sparrow tworzy również:
specialattributes.s3.amazonaws[.]com
~/Library/Application Support/verx_updater/verx.sh
/tmp/verx
~/Biblioteka/Launchagents/verx.plist
~/Biblioteka/Launchagents/init_verx.plist
Ponownie wyszukiwanie za pomocą Findera może wykryć je na zainfekowanym urządzeniu.
Identyfikator programisty ładunku to Julie Willey (MSZ3ZH74RK). Firma Apple unieważniła to konto programisty, aby zapobiec dalszemu rozprzestrzenianiu się złośliwego oprogramowania Silver Sparrow.
Jak znaleźć oryginalną wersję Silver Sparrow dla komputerów Intel Mac
Pierwsza wersja Silver Sparrow może infekować tylko komputery Mac z procesorem Intel. Przychodzi przez:
aktualizacja.pkg
MD5: 30c9bc7d40454e501c358f77449071aa
Ładowność to:
Nazwa pliku: aktualizator
MD5: c668003c9c5b1689ba47a431512b03cc
Ta wersja Silver Sparrow tworzy również:
mobiletraits.s3.amazonaws[.]com
~/Library/Application Support/agent_updater/agent.sh
/tmp/agent
~/Biblioteka/Launchagents/agent.plist
~/Biblioteka/Launchagents/init_agent.plist
Sygnatura binarna ładunku pochodzi z identyfikatora programisty Saotia Seay (5834W6MYX3). Apple również unieważniło to konto programisty.
