Malware för macOS förbryllar säkerhetsexperter

av | feb 21, 2021 | Säkerhet

Ett så kallat malware, potentiellt skadligt program skrivet för macOS och för Intel och M1, förbryllar säkerhetsexperter. Programmet har hittats i närmare 30 000 Mac-datorer men programmet saknar skadliga instruktioner (payload).

Programmet har fått namnet Silver Sparrow och finns i två varianter – en av dem är skriven för Apple Silicon M1. Programmet består av en mindre del som installerar sig i en sårbar dator och sedan ett antal instruktioner varav en är att anropa en server och sedan hämta ytterligare instruktioner. Ladda ned en potentiellt skadlig serie instruktioner och kod sannolikt. Det som är en smula förbryllande med Silver Sparrow är att det idag ser ut att sakna det som kallas för en payload – ytterligare kod/instruktioner och att det också har en serie instruktioner där programmet ska kunna radera sig själv, avinstallera sig själv.

Silver Sparrow kontrollerar också om det finns en fil i datorn och söker efter ~/Library/._insu och hittas denna fil så raderar sig Silver Sparrow – helt.

Tecken

Tecken som tyder på att en dator är infekterad är:

In Versions 1 & 2

~/Library/._insu (empty file used to signal the malware to delete itself)
/tmp/agent.sh (shell script executed for installation callback)
/tmp/version.json (file downloaded from from S3 to determine execution flow)
/tmp/version.plist (version.json converted into a property list)

Malware Version 1

File name: updater.pkg (installer package for v1)
MD5: 30c9bc7d40454e501c358f77449071aa

File name: updater (bystander Mach-O Intel binary in v1 package)
MD5: c668003c9c5b1689ba47a431512b03cc

mobiletraits.s3.amazonaws[.]com (S3 bucket holding version.json for v1)
~/Library/Application Support/agent_updater/agent.sh (v1 script that executes every hour)
/tmp/agent (file containing final v1 payload if distributed)
~/Library/Launchagents/agent.plist (v1 persistence mechanism)
~/Library/Launchagents/init_agent.plist (v1 persistence mechanism)
Developer ID Saotia Seay (5834W6MYX3) – v1 bystander binary signature revoked by Apple

Malware Version 2

File name: update.pkg (installer package for v2)
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149

tasker.app/Contents/MacOS/tasker (bystander Mach-O Intel & M1 binary in v2)
MD5: b370191228fef82635e39a137be470af

specialattributes.s3.amazonaws[.]com (S3 bucket holding version.json for v2)
~/Library/Application Support/verx_updater/verx.sh (v2 script that executes every hour)
/tmp/verx (file containing final v2 payload if distributed)
~/Library/Launchagents/verx.plist (v2 persistence mechanism)
~/Library/Launchagents/init_verx.plist (v2 persistence mechanism)
Developer ID Julie Willey (MSZ3ZH74RK) – v2 bystander binary signature revoked by Apple

Silver Sparrow är ett relativt välskrivet malware med i sammanhanget rätt avancerade funktioner. Det är skriver både för Intel och för M1 med stealth-funktioner för att snabbt kunna dölja sig själv. Allt ser ut att finnas där, utom skadliga funktioner eller funktioner efter det att Silver Sparrow lyckats att infektera en dator. Det är läget just nu ska tilläggas.

Red Canary

Test

Det kan vara så att upphovsmannen, skaparen, har släppt lös sitt program som en test för att se hur det lyckats att sprida sig men det innebär också att när denne någon väl bestämmer sig för att släppa den färdiga versionen med en payload så kommer programmet snabbt kunna upptäckas. Till nu så är Silver Sparrow ett malware som kan sprida sig men som inte tycks göra någon skada, ännu.

0 kommentarer


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen: