Сложности всей этой ситуации добавляет тот факт, что об этом вредоносном ПО (Silver Sparrow) практически ничего неизвестно, в том числе его основная цель и характер действий. На основании того, что к настоящему времени обнаружили исследователи, зараженные компьютеры Mac подключаются к управляющему серверу раз в час для проверки наличия новых команд. В остальном вредонос просто бездействует. Кроме того, у Silver Sparrow есть встроенный механизм самоуничтожения, видимо для того, чтобы злоумышленники могли замести все следы вредоносного ПО в системе.
«Мы обнаружили, что многие угрозы на macOS распространяются через вредоносную рекламу в виде отдельных автономных установщиков PKG или DMG, маскирующихся под известное приложение, вроде Adobe Flash Player, или под обновления. Однако в этом случае злоумышленники распространили вредоносное ПО в двух разных пакетах — updater.pkg и update.pkg. Обе версии используют одни и те же методы выполнения, отличаясь только компиляцией случайного бинарного файла», — сообщается в блоге Red Canary.
И хотя специалисты не зафиксировали какие-либо последствия от Silver Sparrow (функция самоуничтожения ещё ни разу не была активирована), их беспокоит то, что они не знают главной цели вредоносного ПО и масштабов потенциальной проблемы. Также обнаружено, что он может заражать не только компьютеры Mac с процессорами Intel, но и с Apple M1. Причём это две разные версии Silver Sparrow. При намеренном их запуске выводятся разные сообщения: для Intel — «Hello World!», а для M1 — «You did it!». К счастью, Apple уже успела отозвать сертификаты учётных записей разработчиков, которые использовались для подписи пакетов, что должно предотвратить случайную установку вредоноса. Однако компании ещё придётся проделать дополнительную работу, чтобы обеспечить максимальную безопасность устройств на чипе M1.
Как обнаружить Silver Sparrow на Mac
Специального детектора для этого вредоносного ПО пока не существует, но, если один из встроенных системных механизмов предупреждает о потенциально опасной активности, рекомендуется поискать следующие индикаторы:
- процесс, выполняемый через PlistBuddy, вместе с командной строкой с таким содержанием: LaunchAgents and RunAtLoad and true; процесс, выполняемый через sqlite3, вместе с командной строкой с таким содержанием: LSQuarantine; процесс, выполняемый через curl, вместе с командной строкой с таким содержанием: s3.amazonaws.com.
Материалы по теме:
- Почему техника Apple такая дорогая: 3 принципа ценовой политики компании
Почему гаджеты Apple настолько дорогие: 8 очевидных и не очень причин
Источник: