Kako ugotoviti, ali se zlonamerna programska oprema Silver Sparrow skriva na vašem Macu
Grafika: Cult of Mac/Red Canary
Nekatere prve zlonamerne programske opreme, ki so bile namenjene tako M-serijam kot Intel-ovim Mac-om, so prizadele na tisoče računalnikov. Na tej točki zlonamerna koda - imenovana "Silver Sparrow" - ni nevarna in Apple je morda potegnil zobe. Toda uporabniki najnovejših računalnikov macOS bodo morda želeli vedeti, ali jih ima njihova naprava. Enako velja za lastnike računalnikov Mac na osnovi Intela.
Tukaj je opisano, kako ugotoviti, ali je bil vaš računalnik prizadet.
Na kratko ozadje o srebrnem vrabcu
Silver Sparrow izkorišča ranljivost v API -ju JavaScript za namestitev macOS kot način za izvajanje izmuzljivih ukazov. Kljub temu so varnostni profesionalci pri Rdeči kanarček recimo, da je edina koristna vrednost nekaj namestitvenih aplikacij. Različica za računalnike Mac serije M prikazuje samo sporočilo, ki pravi: "To si naredil!"
Toda, kot je bilo omenjeno, lahko vpliva tako na računalnike Intel kot na računalnike serije M. In zaradi tega je skoraj edinstven. Apple je novembra 2020 predstavil prve računalnike Mac s procesorjem M1. Za novo arhitekturo potrebujejo ponovno sestavitev programske opreme. To vključuje tudi zlonamerno programsko opremo. Toda hekerji očitno niso bili navdušeni, kar je privedlo do nastanka Silver Sparrowja.
Za več informacij preberite Kult MacNovinski članek od ponedeljka, "Apple krepi boj proti zlonamerni programski opremi Silver Sparrow, ki je namenjena računalnikom M1 Mac.”
Lov na vlečeno ptico
Prvo poročilo o srebrnem vrabcu je prišlo 18. februarja, varnostni raziskovalci pa še naprej zbirajo podatke. Na tej točki sploh ne vedo, kako se zlonamerna programska oprema distribuira.
Vendar poznajo nekatere datoteke, ki jih doda prizadetemu Macu. Po navedbah Red Canary med njimi so:
~/Knjižnica /._ insu
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist
Iskanje z Finderjem (upravitelj datotek macOS) jih lahko poišče. Računalnik, ki vsebuje te datoteke, je očitno okužen s srebrnim vrabcem.
Trenutno raziskovalci poznajo dve različici srebrnega vrabca. Ena različica lahko okuži samo računalnike Intel Mac. Druga obravnava računalnike Intel in M. Spodaj so podrobnosti, ki jih je treba iskati pri vsaki vrsti računalnika.
Kako najti različico za M-serije in Intelove računalnike Mac
Različica zlonamerne programske opreme, ki lahko vpliva na računalnike Mac s serijo M ali Intel, prihaja prek:
update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
Nosilnost je:
tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af
Ta različica Silver Sparrow ustvarja tudi:
specialattributes.s3.amazonaws [.] com
~/Knjižnica/Podpora za aplikacije/verx_updater/verx.sh
/tmp/verx
~/Library/Launchagents/verx.plist
~/Library/Launchagents/init_verx.plist
Ponovno lahko iskanje z Finderjem te prikaže na okuženi napravi.
ID razvijalca tovora je Julie Willey (MSZ3ZH74RK). Apple je preklical ta račun razvijalca, da bi preprečil nadaljnje širjenje zlonamerne programske opreme Silver Sparrow.
Kako najti izvirno različico Silver Sparrow za Intel Mac
Prva različica Silver Sparrow lahko okuži samo računalnike Mac, ki temeljijo na Intelu. Prihaja skozi:
Updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa
Nosilnost je:
Ime datoteke: Updater
MD5: c668003c9c5b1689ba47a431512b03cc
Ta različica Silver Sparrow ustvarja tudi:
mobiletraits.s3.amazonaws [.] com
~/Knjižnica/Podpora za aplikacije/agent_updater/agent.sh
/tmp/agent
~/Library/Launchagents/agent.plist
~/Library/Launchagents/init_agent.plist
Binarni podpis tovora izvira iz razvijalca ID Saotia Seay (5834W6MYX3). Apple je tudi preklical ta račun razvijalca.
