Как узнать, скрывается ли вредоносная программа Silver Sparrow на вашем Mac

Некоторые из первых вредоносных программ, нацеленных как на компьютеры серии M, так и на компьютеры Intel Mac, затронули тысячи компьютеров. На данный момент вредоносный код под названием «Серебряный воробей» не представляет опасности, и Apple, возможно, вырвала свои зубы. Но пользователи последних компьютеров с macOS могут захотеть узнать, есть ли это на их устройстве. То же самое и с владельцами компьютеров Mac на базе Intel.

Вот как узнать, пострадали ли ваш компьютер.

Краткая справка о Серебряном воробье

Silver Sparrow использует уязвимость в JavaScript API установщика macOS для выполнения хитрых команд. Тем не менее, специалисты по безопасности в Красная Канарейка говорят, что единственная полезная нагрузка - это пара приложений-заполнителей. Версия для компьютеров Mac серии M отображает только сообщение «Вы сделали это!»

Но, как уже упоминалось, это может повлиять как на Intel, так и на Mac серии M. И это делает его практически уникальным. Apple представила первые компьютеры Mac с процессором M1 в ноябре 2020 года. Они требуют перекомпиляции программного обеспечения для новой архитектуры. В том числе и вредоносное ПО. Но хакеров явно это не смутило, и это привело к созданию Silver Sparrow.

Для получения дополнительной информации прочтите Культ MacНовостная статья за понедельник: "Apple усиливает борьбу с вредоносным ПО Silver Sparrow, нацеленным на Mac M1.”

Охота на задушенную птицу

Первый отчет о Серебряном воробье прибыл 18 февраля, и исследователи безопасности продолжают сбор информации. На данный момент они даже не знают, как распространяется вредоносное ПО.

Но они знают некоторые файлы, которые он добавляет на зараженный Mac. Согласно Red Canary, к ним относятся:

~ / Библиотека /._ ins

/tmp/agent.sh

/tmp/version.json

/tmp/version.plist

Их можно найти с помощью поиска с помощью Finder (файлового менеджера macOS). Компьютер, содержащий эти файлы, очевидно, заражен Silver Sparrow.

В настоящее время исследователям известны две версии Серебряного воробья. Одна версия может заразить только Intel Mac. Другой вариант - компьютеры Intel и M-серии. Ниже приведены подробные сведения о каждом типе компьютеров.

Как найти версию для M-серии и Intel Mac

Версия вредоносного ПО, которое может повлиять на компьютеры Mac под управлением M-серии или Intel, поступает через:

update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149

Полезная нагрузка:

tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af

Эта версия Silver Sparrow также создает:

specialattributes.s3.amazonaws [.] com

~ / Библиотека / Поддержка приложений / verx_updater / verx.sh

/tmp/verx

~ / Библиотека / Launchagents / verx.plist

~ / Библиотека / Launchagents / init_verx.plist

Опять же, поиск с помощью Finder может выявить их на зараженном устройстве.

Идентификатор разработчика полезной нагрузки - Джули Уилли (MSZ3ZH74RK). Apple отозвала эту учетную запись разработчика, чтобы предотвратить дальнейшее распространение вредоносного ПО Silver Sparrow.

Как найти оригинальную версию Silver Sparrow для Intel Mac

Первая версия Silver Sparrow может заразить только компьютеры Mac на базе Intel. Он поступает через:

updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa

Полезная нагрузка:

Имя файла: Updater
MD5: c668003c9c5b1689ba47a431512b03cc

Эта версия Silver Sparrow также создает:

mobiletraits.s3.amazonaws [.] com

~ / Библиотека / Поддержка приложений / agent_updater / agent.sh

/tmp/agent

~ / Библиотека / Launchagents / agent.plist

~ / Библиотека / Launchagents / init_agent.plist

Бинарная подпись полезной нагрузки получена от Developer ID Saotia Seay (5834W6MYX3). Apple отозвала и эту учетную запись разработчика.