Нове

Шкідлива програма Silver Sparrow заражає комп’ютери Mac по всьому світу, але поки неясно з якою метою

З огляду на те, що операційна система Windows більш широко поширена, ніж macOS, хакерам і зловмисникам вигідно створювати шкідливі програми, призначені для пристроїв, які працюють під управлінням Windows. Проте це не означає, що операційна система Apple повністю безпечна. Випадки зараження macOS досить рідкісні, але вони бувають. Так, наприклад, дослідники безпеки з Malwarebytes і Red Canary виявили новий різновид шкідливого ПО, яким заразилися принаймні 30 тис. комп’ютерів Mac.

Складнощі всій цій ситуації додає той факт, що про ці шкідливі програми (Silver Sparrow) практично нічого невідомо, в тому числі його основна мета та характер дій. На підставі того, що до теперішнього часу виявили дослідники, заражені комп’ютери Mac підключаються до керуючого сервера раз на годину для перевірки наявності нових команд. В іншому шкідливий просто не діє. Крім того, у Silver Sparrow є вбудований механізм самознищення, мабуть для того, щоб зловмисники могли замести всі сліди шкідливого ПО в системі.

«Ми виявили, що багато загроз на macOS поширюються через шкідливу рекламу у вигляді окремих автономних установників PKG або DMG, що маскуються під відомий додаток, на зразок Adobe Flash Player, або під оновлення. Однак в цьому випадку зловмисники поширили шкідливе ПО в двох різних пакетах – updater.pkg і update.pkg. Обидві версії використовують одні і ті ж методи виконання, відрізняючись тільки компіляцією випадкового бінарного файлу », – повідомляється в блозі Red Canary.

І хоча фахівці не зафіксували будь-які наслідки від Silver Sparrow (функція самознищення ще жодного разу не була активована), їх турбує те, що вони не знають головної мети шкідливого ПО і масштабів потенційної проблеми. Також виявлено, що він може заражати не тільки комп’ютери Mac з процесорами Intel, але і з Apple M1. Причому це дві різні версії Silver Sparrow. При навмисному їх запуску виводяться різні повідомлення: для Intel – «Hello World!», А для M1 – «You did it!». На щастя, Apple вже встигла відкликати сертифікати облікових записів розробників, які використовувалися для підпису пакетів, що має запобігти випадковій установку вірусу. Однак компанії ще доведеться виконати додаткову роботу, щоб забезпечити максимальну безпеку пристроїв на чіпі M1.

Як виявити Silver Sparrow на Mac

Спеціального детектора для цього шкідливого ПО поки не існує, але, якщо один з вбудованих системних механізмів попереджає про потенційно небезпечну активність, рекомендується пошукати такі індикатори:

  • процес, що виконується через PlistBuddy, разом з командним рядком з таким змістом: LaunchAgents and RunAtLoad and true;
  • процес, що виконується через sqlite3, разом з командним рядком з таким змістом: LSQuarantine;
  • процес, що виконується через curl, разом з командним рядком з таким змістом: s3.amazonaws.com.




Нове

Не пропусти