Неизвестный вредонос обнаружен на macOS, заражены 30 000 компьютеров. Как проверить свой Mac
Учитывая, что операционная система Windows более широко распространена, нежели macOS, хакерам и злоумышленникам выгодно создавать вредоносные программы, предназначенные для устройств, которые работают под управлением Windows. Тем не менее это не означает, что операционная система Apple полностью безопасная. Случаи заражения macOS довольно редкие, но они бывают. Так, например, исследователи безопасности из Malwarebytes и Red Canary обнаружили новую разновидность вредоносного ПО, которым заразились по крайней мере 30 тыс. компьютеров Mac.
Сложности всей этой ситуации добавляет тот факт, что об этом вредоносном ПО (Silver Sparrow) практически ничего неизвестно, в том числе его основная цель и характер действий. На основании того, что к настоящему времени обнаружили исследователи, зараженные компьютеры Mac подключаются к управляющему серверу раз в час для проверки наличия новых команд. В остальном вредонос просто бездействует. Кроме того, у Silver Sparrow есть встроенный механизм самоуничтожения, видимо для того, чтобы злоумышленники могли замести все следы вредоносного ПО в системе.
«Мы обнаружили, что многие угрозы на macOS распространяются через вредоносную рекламу в виде отдельных автономных установщиков PKG или DMG, маскирующихся под известное приложение, вроде Adobe Flash Player, или под обновления. Однако в этом случае злоумышленники распространили вредоносное ПО в двух разных пакетах — updater.pkg и update.pkg. Обе версии используют одни и те же методы выполнения, отличаясь только компиляцией случайного бинарного файла», — сообщается в блоге Red Canary.
И хотя специалисты не зафиксировали какие-либо последствия от Silver Sparrow (функция самоуничтожения ещё ни разу не была активирована), их беспокоит то, что они не знают главной цели вредоносного ПО и масштабов потенциальной проблемы. Также обнаружено, что он может заражать не только компьютеры Mac с процессорами Intel, но и с Apple M1. Причём это две разные версии Silver Sparrow. При намеренном их запуске выводятся разные сообщения: для Intel — «Hello World!», а для M1 — «You did it!». К счастью, Apple уже успела отозвать сертификаты учётных записей разработчиков, которые использовались для подписи пакетов, что должно предотвратить случайную установку вредоноса. Однако компании ещё придётся проделать дополнительную работу, чтобы обеспечить максимальную безопасность устройств на чипе M1.
Как обнаружить Silver Sparrow на Mac
Специального детектора для этого вредоносного ПО пока не существует, но, если один из встроенных системных механизмов предупреждает о потенциально опасной активности, рекомендуется поискать следующие индикаторы:
- процесс, выполняемый через PlistBuddy, вместе с командной строкой с таким содержанием: LaunchAgents and RunAtLoad and true;
- процесс, выполняемый через sqlite3, вместе с командной строкой с таким содержанием: LSQuarantine;
- процесс, выполняемый через curl, вместе с командной строкой с таким содержанием: s3.amazonaws.com.
