Malware „Silver Sparrow“ erkennen

Nachdem bekannt wurde das es eine neue Malware sowohl Intel als auch M1 Macs infizieren kann und keiner genau weiß was diese macht, da sie noch inaktiv ist, stellen sich viele bestimmt die Frage ob Ihr Mac auch befallen sein könnte.

Wie kommt „Silver Sparrow“ überhaupt auf den Mac ?

Die Malware nutzt einen Exploit im im macOS Installer Javascript API aus, um die für sie wichtigen Kommandos auszuführen. Laut Red Canary gibt es noch keinen Schadcode der im Moment ausgeführt wird, sondern nur leere Platzhalter für die entsprechenden Scripts und Apps. Die M1 Version der Malware zeige eine Nachricht mit dem Wortlaut „You did it!“.

Wie eingangs erwähnt kann die Malware beide Mac Plattformen infizieren, was diese wirklich einzigartig macht. Bei der Vorstellung der M1 Macs im November erwähnt Apple das die Apps angepasst und neu kompiliert werden müssen, um nativ auf der neuen ARM-basierenden Plattform laufen zu können. Hier haben die Programmierer der Malware wohl schnell gehandelt und die Malware als einer der ersten für den M1 angepasst.

Wie finde ich die Malware ?

Die ersten Berichte zur Entdeckung der Malware stammen vom 18. Februar und sie wird aktuell noch weiter untersucht. Bisher ist nichtmal bekannt, wie die Malware verbreitet wurde und wird.

Allerdings konnten die Forscher von Red Canary einige Dateien ausfindig machen, die von der Malware zum System hinzugefügt werden.

~/Library/._insu
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist

Ihr könnt nach diesen Dateien einfach im Finder suchen, solltet Ihr fündig werden, ist Euer Mac infiziert.

Bisher sind zwei Versionen der Malware bekannt. Die Eine infiziert nur Intel Macs, die Andere infiziert sowohl Intel als auch M1 Macs.

Wie erkenne ich von welcher Version ich betroffen bin ?

Die Version die Beide Macs infizieren kann, besteht aus folgenden Dateien und Hashwerten:

update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149

und der eigentlichen Malware auf dem System

tasker.app/Contents/MacOS/tasker 
MD5: b370191228fef82635e39a137be470af

Zusätzlich erstellt die Malware folgende Dateien:

specialattributes.s3.amazonaws[.]com
~/Library/Application Support/verx_updater/verx.sh
/tmp/verx
~/Library/Launchagents/verx.plist
~/Library/Launchagents/init_verx.plist

Auch diese Dateien können über den Finder und der Suche gefunden werden, falls vorhanden. Die Developer ID der eigentlich Malware lautet: Julie Willey (MSZ3ZH74RK). Diese wurde von Apple aber schon auf die schwarze Liste gesetzt und der Account gesperrt.

Die Version nur für Intel Macs findet ihr folgendermaßen:

updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa

die eigentliche Malware:

updater
MD5: c668003c9c5b1689ba47a431512b03cc

Diese Version erstellt zusätzlich folgende Dateien:

mobiletraits.s3.amazonaws[.]com
~/Library/Application Support/agent_updater/agent.sh
/tmp/agent
~/Library/Launchagents/agent.plist
~/Library/Launchagents/init_agent.plist

Die Developer ID der eigentlich Malware lautet: Saotia Seay (5834W6MYX3). Diese wurde von Apple ebenfalls schon auf die schwarze Liste gesetzt und der Account gesperrt.

Quelle: Cult of Mac

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.