Як визначити, чи шкідлива програма Silver Sparrow ховається на вашому Mac
Графіка: Культ Мака/Червона Канарка
Деякі з перших шкідливих програм, орієнтованих як на серії M, так і на Mac Mac, зачепили тисячі комп'ютерів. На даний момент шкідливий код - під назвою «Срібний горобчик» - не є небезпечним, і Apple, можливо, вирвала зуби. Але користувачі найновіших комп’ютерів macOS все одно можуть захотіти дізнатися, чи є у їх пристрої. Те саме стосується власників комп’ютерів Mac на базі Intel.
Ось як дізнатися, чи ваш комп'ютер постраждав.
Коротка довідка про срібного горобця
Silver Sparrow використовує вразливість у JavaScript API встановлення macOS як спосіб виконання хитрих команд. Тим не менш, профі безпеки в Червона канарка скажіть, що єдине корисне навантаження - це кілька додатків -заповнювачів. Версія для комп’ютерів Mac із серії М відображає лише повідомлення з написом: "Ви зробили це!"
Але, як уже згадувалося, це може вплинути як на Mac, так і на Intel. І це робить його майже унікальним. Apple представила перші комп'ютери Mac з процесором M1 у листопаді 2020 року. Вони вимагають перекомпіляції програмного забезпечення для нової архітектури. І це включає шкідливе програмне забезпечення. Але хакери явно не були ошелешені, що призвело до створення Silver Sparrow.
Для отримання додаткової інформації прочитайте Культ MacНовинна стаття від понеділка, «Apple активізує боротьбу зі шкідливим програмним забезпеченням Silver Sparrow, орієнтованим на Mac M1.”
Полювання на птаха -дратика
Перший звіт про срібного горобця надійшов 18 лютого, і дослідники безпеки продовжують збирати інформацію. На даний момент вони навіть не знають, як розповсюджується шкідлива програма.
Але вони знають деякі файли, які він додає до загроженого Mac. За даними Red Canary, до них відносяться:
~/Бібліотека /._ insu
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist
Пошук за допомогою Finder (файлового менеджера macOS) може їх знайти. Комп'ютер, що містить ці файли, очевидно, заражений срібним горобцем.
В даний час дослідникам відомі дві версії срібного горобця. Одна версія може заразити тільки Intel Mac. Інший-на комп'ютерах Intel та серії M. Нижче наведено деталі, які слід шукати на кожному типі комп’ютерів.
Як знайти версію для комп'ютерів Mac серії M та Intel
Версія шкідливого програмного забезпечення, яке може вплинути на комп'ютери Mac з серією M або Intel, надходить через:
update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
Корисне навантаження:
tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af
Ця версія Silver Sparrow також створює:
specialattributes.s3.amazonaws [.] com
~/Бібліотека/Підтримка програм/verx_updater/verx.sh
/tmp/verx
~/Бібліотека/Launchagents/verx.plist
~/Library/Launchagents/init_verx.plist
Знову ж таки, пошук за допомогою Finder може виявити їх на зараженому пристрої.
Ідентифікатор розробника корисного навантаження - Джулі Віллі (MSZ3ZH74RK). Apple анулювала цей обліковий запис розробника, щоб запобігти подальшому поширенню шкідливого програмного забезпечення Silver Sparrow.
Як знайти оригінальну версію Silver Sparrow для комп'ютерів Intel
Перша версія Silver Sparrow може заразити лише Mac на базі Intel. Він надходить через:
Updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa
Корисне навантаження:
Назва файлу: Updater
MD5: c668003c9c5b1689ba47a431512b03cc
Ця версія Silver Sparrow також створює:
mobiletraits.s3.amazonaws [.] com
~/Бібліотека/Підтримка програм/agent_updater/agent.sh
/tmp/agent
~/Library/Launchagents/agent.plist
~/Library/Launchagents/init_agent.plist
Двійковий підпис корисного вантажу надходить від ідентифікатора розробника Saotia Seay (5834W6MYX3). Apple також анулювала цей обліковий запис розробника.
