Ένα νέο malware που στοχεύει τόσο M-series όσο και Intel Macs έχει επηρεάσει περίπου 30.000 συστήματα σε 153 χώρες. Το malware ονομάζεται “Silver Sparrow“, αλλά προς το παρόν δεν είναι γνωστές πολλές λεπτομέρειες σχετικά με τον τρόπο διανομής του και το σκοπό των επιθέσεων σε Mac υπολογιστές.
Μερικές πληροφορίες για το Silver Sparrow
Λέγεται ότι το Silver Sparrow εκμεταλλεύεται μια ευπάθεια στο macOS Installer JavaScript API προκειμένου να εκτελέσει επικίνδυνες εντολές. Eρευνητές ασφαλείας της Red Canary λένε ότι το μόνο payload που βρέθηκε είναι δυο placeholder apps. Η έκδοση για τα M-series Macs εμφανίζει μόνο ένα μήνυμα που λέει: “You did it!”.
Οι ειδικοί δεν έχουν βρει, μέχρι στιγμής, κάποια κακόβουλη ή επικίνδυνη συμπεριφορά του malware.
Ωστόσο, όπως αναφέρθηκε, μπορεί να επηρεάσει τόσο τα Intel όσο και τα M-series Macs. Και αυτή η δυνατότητα το καθιστά σχεδόν μοναδικό. Η Apple παρουσίασε τα πρώτα Mac με τον επεξεργαστή Μ1 τον Νοέμβριο του 2020. Απ’ ότι φαίνεται από τη δημιουργία του Silver Sparrow, οι εγκληματίες του κυβερνοχώρου δεν άργησαν πολύ να στοχεύσουν αυτά τα συστήματα.
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Η πρώτη έκθεση για το Silver Sparrοw δημοσιεύτηκε μόλις λίγες ημέρες πριν, στις 18 Φεβρουαρίου. Επομένως, οι ερευνητές ασφαλείας συγκεντρώνουν ακόμα πληροφορίες, ενώ όπως είπαμε και προηγουμένως, δεν γνωρίζουν ακόμα τον τρόπο διανομής.
Ωστόσο, έχουν ανακαλύψει μερικά από τα αρχεία που προσθέτει το malware σε ένα μολυσμένο Mac. Σύμφωνα με τους ερευνητές της Red Canary, αυτά τα αρχεία περιλαμβάνουν:
- ~/Library/._insu
- /tmp/agent.sh
- /tmp/version.json
- /tmp/version.plist
Μια αναζήτηση με το Finder (macOS file manager) μπορεί να τα εντοπίσει. Ένας υπολογιστής που έχει τα παραπάνω αρχεία είναι πιθανότατα μολυσμένος.
Υπάρχουν δύο εκδόσεις του malware. Η μια μολύνει μόνο Intel Macs. Η άλλη έκδοση μολύνει και τα δυο.
Πώς να βρείτε την έκδοση του Silver Sparrοw που στοχεύει M-series και Intel Macs;
Η έκδοση που μπορεί να επηρεάσει Mac M-series ή Intel έρχεται μέσω:
update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
Το payload είναι:
tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af
Αυτή η έκδιση του Silver Sparrow δημιουργεί επίσης:
- specialattributes.s3.amazonaws[.]com
- ~/Library/Application Support/verx_updater/verx.sh
- /tmp/verx
- ~/Library/Launchagents/verx.plist
- ~/Library/Launchagents/init_verx.plist
Και πάλι, μια αναζήτηση με τον macOS file manager μπορεί να εμφανίσει τα παραπάνω σε μια μολυσμένη συσκευή.
Το Developer ID του payload είναι Julie Willey (MSZ3ZH74RK). Η Apple ανακάλεσε αυτό το account για να αποτρέψει την περαιτέρω εξάπλωση του Silver Sparrow.
Πώς να ανακαλύψετε την original έκδοση του Silver Sparrow που στοχεύει μόνο Intel Macs;
Η έκδοση που επηρεάζει τα Intel-based Macs έρχεται μέσω:
updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa
Το payload είναι:
File name: updater
MD5: c668003c9c5b1689ba47a431512b03cc
Αυτή η έκδοση του malware δημιουργεί επίσης:
- mobiletraits.s3.amazonaws[.]com
- ~/Library/Application Support/agent_updater/agent.sh
- /tmp/agent
- ~/Library/Launchagents/agent.plist
- ~/Library/Launchagents/init_agent.plist
Το binary signature του payload έρχεται από το Developer ID Saotia Seay (5834W6MYX3), που έχει επίσης, αφαιρεθεί από την Apple.
Αν ανησυχείτε για την ασφάλεια του Mac σας, καλό θα ήταν να ψάξετε για τα παραπάνω στοιχεία. Αν βρείτε κάτι από αυτά, τότε πιθανότατα έχετε μολυνθεί από το Silver Sparrow.
Πηγή: Cult of Mac