ΑρχικήrapidalertΠώς να δείτε αν το Silver Sparrow malware κρύβεται στο Mac σας;

Πώς να δείτε αν το Silver Sparrow malware κρύβεται στο Mac σας;

Ένα νέο malware που στοχεύει τόσο M-series όσο και Intel Macs έχει επηρεάσει περίπου 30.000 συστήματα σε 153 χώρες. Το malware ονομάζεται “Silver Sparrow“, αλλά προς το παρόν δεν είναι γνωστές πολλές λεπτομέρειες σχετικά με τον τρόπο διανομής του και το σκοπό των επιθέσεων σε Mac υπολογιστές.

Silver Sparrow malware
Πώς να δείτε αν το Silver Sparrοw malware κρύβεται στο Mac σας;

Μερικές πληροφορίες για το Silver Sparrow

Λέγεται ότι το Silver Sparrow εκμεταλλεύεται μια ευπάθεια στο macOS Installer JavaScript API προκειμένου να εκτελέσει επικίνδυνες εντολές. Eρευνητές ασφαλείας της Red Canary λένε ότι το μόνο payload που βρέθηκε είναι δυο placeholder apps. Η έκδοση για τα M-series Macs εμφανίζει μόνο ένα μήνυμα που λέει: “You did it!”.

Οι ειδικοί δεν έχουν βρει, μέχρι στιγμής, κάποια κακόβουλη ή επικίνδυνη συμπεριφορά του malware.

Ωστόσο, όπως αναφέρθηκε, μπορεί να επηρεάσει τόσο τα Intel όσο και τα M-series Macs. Και αυτή η δυνατότητα το καθιστά σχεδόν μοναδικό. Η Apple παρουσίασε τα πρώτα Mac με τον επεξεργαστή Μ1 τον Νοέμβριο του 2020. Απ’ ότι φαίνεται από τη δημιουργία του Silver Sparrow, οι εγκληματίες του κυβερνοχώρου δεν άργησαν πολύ να στοχεύσουν αυτά τα συστήματα.

Silver Sparrow Mac
Πώς να δείτε αν το Silver Sparrow malware κρύβεται στο Mac σας;

Η πρώτη έκθεση για το Silver Sparrοw δημοσιεύτηκε μόλις λίγες ημέρες πριν, στις 18 Φεβρουαρίου. Επομένως, οι ερευνητές ασφαλείας συγκεντρώνουν ακόμα πληροφορίες, ενώ όπως είπαμε και προηγουμένως, δεν γνωρίζουν ακόμα τον τρόπο διανομής.

Ωστόσο, έχουν ανακαλύψει μερικά από τα αρχεία που προσθέτει το malware σε ένα μολυσμένο Mac. Σύμφωνα με τους ερευνητές της Red Canary, αυτά τα αρχεία περιλαμβάνουν:

  • ~/Library/._insu
  • /tmp/agent.sh
  • /tmp/version.json
  • /tmp/version.plist

Μια αναζήτηση με το Finder (macOS file manager) μπορεί να τα εντοπίσει. Ένας υπολογιστής που έχει τα παραπάνω αρχεία είναι πιθανότατα μολυσμένος.

Υπάρχουν δύο εκδόσεις του malware. Η μια μολύνει μόνο Intel Macs. Η άλλη έκδοση μολύνει και τα δυο.

Πώς να δείτε αν το Silver Sparrow malware κρύβεται στο Mac σας;

Πώς να βρείτε την έκδοση του Silver Sparrοw που στοχεύει M-series και Intel Macs;

Η έκδοση που μπορεί να επηρεάσει Mac M-series ή Intel έρχεται μέσω:

update.pkg

MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149

Το payload είναι:

tasker.app/Contents/MacOS/tasker

MD5: b370191228fef82635e39a137be470af

Αυτή η έκδιση του Silver Sparrow δημιουργεί επίσης:

  • specialattributes.s3.amazonaws[.]com
  • ~/Library/Application Support/verx_updater/verx.sh
  • /tmp/verx
  • ~/Library/Launchagents/verx.plist
  • ~/Library/Launchagents/init_verx.plist

Και πάλι, μια αναζήτηση με τον macOS file manager μπορεί να εμφανίσει τα παραπάνω σε μια μολυσμένη συσκευή.

Το Developer ID του payload είναι Julie Willey (MSZ3ZH74RK). Η Apple ανακάλεσε αυτό το account για να αποτρέψει την περαιτέρω εξάπλωση του Silver Sparrow.

Πώς να ανακαλύψετε την original έκδοση του Silver Sparrow που στοχεύει μόνο Intel Macs;

Η έκδοση που επηρεάζει τα Intel-based Macs έρχεται μέσω:

updater.pkg

MD5: 30c9bc7d40454e501c358f77449071aa

Το payload είναι:

File name: updater

MD5: c668003c9c5b1689ba47a431512b03cc

Αυτή η έκδοση του malware δημιουργεί επίσης:

  • mobiletraits.s3.amazonaws[.]com
  • ~/Library/Application Support/agent_updater/agent.sh
  • /tmp/agent
  • ~/Library/Launchagents/agent.plist
  • ~/Library/Launchagents/init_agent.plist

Το binary signature του payload έρχεται από το Developer ID Saotia Seay (5834W6MYX3), που έχει επίσης, αφαιρεθεί από την Apple.

Αν ανησυχείτε για την ασφάλεια του Mac σας, καλό θα ήταν να ψάξετε για τα παραπάνω στοιχεία. Αν βρείτε κάτι από αυτά, τότε πιθανότατα έχετε μολυνθεί από το Silver Sparrow.

Πηγή: Cult of Mac

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS