Ett så kallat malware, potentiellt skadligt program skrivet för macOS och för Intel och M1, förbryllar säkerhetsexperter. Programmet har hittats i närmare 30 000 Mac-datorer men programmet saknar skadliga instruktioner (payload).
Programmet har fått namnet Silver Sparrow och finns i två varianter – en av dem är skriven för Apple Silicon M1. Programmet består av en mindre del som installerar sig i en sårbar dator och sedan ett antal instruktioner varav en är att anropa en server och sedan hämta ytterligare instruktioner. Ladda ned en potentiellt skadlig serie instruktioner och kod sannolikt. Det som är en smula förbryllande med Silver Sparrow är att det idag ser ut att sakna det som kallas för en payload – ytterligare kod/instruktioner och att det också har en serie instruktioner där programmet ska kunna radera sig själv, avinstallera sig själv.
Silver Sparrow kontrollerar också om det finns en fil i datorn och söker efter ~/Library/._insu
och hittas denna fil så raderar sig Silver Sparrow – helt.
Tecken
Tecken som tyder på att en dator är infekterad är:
In Versions 1 & 2
~/Library/._insu (empty file used to signal the malware to delete itself)
/tmp/agent.sh (shell script executed for installation callback)
/tmp/version.json (file downloaded from from S3 to determine execution flow)
/tmp/version.plist (version.json converted into a property list)Malware Version 1
File name: updater.pkg (installer package for v1)
MD5: 30c9bc7d40454e501c358f77449071aaFile name: updater (bystander Mach-O Intel binary in v1 package)
MD5: c668003c9c5b1689ba47a431512b03ccmobiletraits.s3.amazonaws[.]com (S3 bucket holding version.json for v1)
~/Library/Application Support/agent_updater/agent.sh (v1 script that executes every hour)
/tmp/agent (file containing final v1 payload if distributed)
~/Library/Launchagents/agent.plist (v1 persistence mechanism)
~/Library/Launchagents/init_agent.plist (v1 persistence mechanism)
Developer ID Saotia Seay (5834W6MYX3) – v1 bystander binary signature revoked by AppleMalware Version 2
File name: update.pkg (installer package for v2)
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149tasker.app/Contents/MacOS/tasker (bystander Mach-O Intel & M1 binary in v2)
MD5: b370191228fef82635e39a137be470afspecialattributes.s3.amazonaws[.]com (S3 bucket holding version.json for v2)
~/Library/Application Support/verx_updater/verx.sh (v2 script that executes every hour)
/tmp/verx (file containing final v2 payload if distributed)
~/Library/Launchagents/verx.plist (v2 persistence mechanism)
~/Library/Launchagents/init_verx.plist (v2 persistence mechanism)
Developer ID Julie Willey (MSZ3ZH74RK) – v2 bystander binary signature revoked by Apple
Silver Sparrow är ett relativt välskrivet malware med i sammanhanget rätt avancerade funktioner. Det är skriver både för Intel och för M1 med stealth-funktioner för att snabbt kunna dölja sig själv. Allt ser ut att finnas där, utom skadliga funktioner eller funktioner efter det att Silver Sparrow lyckats att infektera en dator. Det är läget just nu ska tilläggas.
Test
Det kan vara så att upphovsmannen, skaparen, har släppt lös sitt program som en test för att se hur det lyckats att sprida sig men det innebär också att när denne någon väl bestämmer sig för att släppa den färdiga versionen med en payload så kommer programmet snabbt kunna upptäckas. Till nu så är Silver Sparrow ett malware som kan sprida sig men som inte tycks göra någon skada, ännu.
0 kommentarer