Como saber se o malware Silver Sparrow está escondido no seu Mac
Gráfico: Culto ao Mac / Canário Vermelho
Alguns dos primeiros malwares direcionados aos Macs da série M e Intel afetaram milhares de computadores. Neste ponto, o código malicioso - chamado “Silver Sparrow” - não é perigoso, e a Apple pode ter arrancado seus dentes. Mas os usuários dos computadores macOS mais recentes ainda podem querer saber se seu dispositivo o tem. E o mesmo vale para proprietários de Macs baseados em Intel.
Veja como descobrir se seu computador foi atingido.
Um breve histórico do Silver Sparrow
O Silver Sparrow explora uma vulnerabilidade na API JavaScript do instalador do macOS como uma forma de executar comandos duvidosos. Dito isso, os profissionais de segurança da Canário Vermelho dizem que a única carga útil são alguns aplicativos de espaço reservado. A versão para Macs da série M exibe apenas uma mensagem que diz: “Você conseguiu!”
Mas, como mencionado, pode afetar os Macs Intel e M-series. E isso o torna quase único. A Apple lançou os primeiros Macs usando seu processador M1 em novembro de 2020. Eles exigem que o software seja recompilado para a nova arquitetura. E isso inclui malware. Mas os hackers claramente não se intimidaram, levando à criação do Silver Sparrow.
Para mais informações, leia Culto de MacArtigo de notícias de segunda-feira, “Apple intensifica a luta contra malware Silver Sparrow que tem como alvo M1 Macs.”
Caçando o maldito pássaro
O primeiro relatório sobre o Silver Sparrow chegou em 18 de fevereiro, e os pesquisadores de segurança continuam coletando informações. Nesse ponto, eles nem sabem como o malware está sendo distribuído.
Mas eles conhecem alguns dos arquivos que ele adiciona a um Mac afetado. De acordo com Red Canary, incluem:
~ / Biblioteca /._ insu
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist
Uma pesquisa com o Finder (o gerenciador de arquivos do macOS) pode localizá-los. Um computador que contém esses arquivos está aparentemente infectado com o Silver Sparrow.
Atualmente, os pesquisadores conhecem duas versões do Silver Sparrow. Uma versão pode infectar apenas Macs Intel. O outro suporta computadores Intel e M-series. Abaixo estão os detalhes a serem procurados em cada tipo de computador.
Como encontrar a versão para a série M e Macs Intel
A versão do malware que pode afetar Macs que executam a série M ou Intel chega por meio de:
update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
A carga útil é:
tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af
Esta versão do Silver Sparrow também cria:
specialattributes.s3.amazonaws [.] com
~ / Library / Application Support / verx_updater / verx.sh
/tmp/verx
~ / Library / Launchagents / verx.plist
~ / Library / Launchagents / init_verx.plist
Novamente, uma pesquisa com o Finder pode detectá-los em um dispositivo infectado.
O ID do desenvolvedor da carga útil é Julie Willey (MSZ3ZH74RK). A Apple revogou esta conta de desenvolvedor para ajudar a prevenir a disseminação do malware Silver Sparrow.
Como encontrar a versão original do Silver Sparrow para Macs Intel
A primeira versão do Silver Sparrow só pode infectar Macs baseados em Intel. Ele chega por meio de:
updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa
A carga útil é:
Nome do arquivo: atualizador
MD5: c668003c9c5b1689ba47a431512b03cc
Esta versão do Silver Sparrow também cria:
mobiletraits.s3.amazonaws [.] com
~ / Library / Application Support / agent_updater / agent.sh
/tmp/agent
~ / Library / Launchagents / agent.plist
~ / Library / Launchagents / init_agent.plist
A assinatura binária da carga útil vem do ID de desenvolvedor Saotia Seay (5834W6MYX3). A Apple também revogou esta conta de desenvolvedor.
