Druhým známým malwarem, který byl zkompilován pro nativní spuštění na počítačích Mac M1, byl objevila bezpečnostní firma Red Canary .
Vzhledem k názvu „Silver Sparrow“ se o škodlivém balíčku říká, že využívá k provádění podezřelých příkazů macOS Installer JavaScript API. Po více než týdenním pozorování malwaru však ani Red Canary, ani jeho výzkumní partneři nezaznamenali konečné užitečné zatížení, takže přesná hrozba, kterou malware představuje, zůstává záhadou.
Nicméně, Red Canary řekl, že malware může být „přiměřeně vážnou hrozbou“:
vaše Apple id se nyní používá pro zasílání zpráv na novém iPhonu
Ačkoli jsme ještě nezaznamenali, že by Silver Sparrow přinášel další škodlivé užitečné zatížení, jeho výhledová kompatibilita čipů M1, globální dosah, relativně vysoká míra infekce a provozní vyspělost naznačují, že Silver Sparrow je přiměřeně závažnou hrozbou, která má jedinečnou pozici pro poskytování potenciálně působivého užitečného zatížení. v okamžiku.
Podle údajů poskytnutých Malwarebytes infikoval ‚Silver Sparrow‘ k 17. únoru 29 139 systémů macOS ve 153 zemích, včetně ‚velkého objemu detekce ve Spojených státech, Spojeném království, Kanadě, Francii a Německu‘. Red Canary nespecifikoval, kolik z těchto systémů byly M1 Mac, pokud vůbec nějaké.
jak povolit hudební knihovnu icloud
Vzhledem k tomu, že dvojhvězdy 'Silver Sparrow' 'nevypadají, že toho ještě tolik nedělají', Red Canary o nich hovořil jako o 'přihlížejících dvojhvězdách'. Při spuštění na počítačích Mac s procesorem Intel se ve škodlivém balíčku zobrazí pouze prázdné okno s nápisem 'Hello, World!' zpráva, zatímco binární binární soubor křemíku Apple vede k červenému oknu s nápisem 'Dokázal jsi to!'
Red Canary sdílené metody pro detekci široké škály hrozeb pro macOS, ale kroky nejsou specifické pro detekci „Silver Sparrow“:
- Hledejte proces, který se zdá být spuštěn PlistBuddy ve spojení s příkazovým řádkem obsahujícím následující: LaunchAgents a RunAtLoad a true. Tato analýza nám pomáhá najít několik rodin malwaru pro macOS, které vytvářejí stálost LaunchAgent.
- Hledejte proces, který se zdá být sqlite3 spouštěný ve spojení s a
příkazový řádek, který obsahuje: LSQuarantine. Tato analýza nám pomáhá najít několik rodin malwaru macOS, které manipulují s metadaty stažených souborů nebo je hledají.
- Hledejte proces, který se zdá být spuštěn ve spojení s příkazovým řádkem, který obsahuje: s3.amazonaws.com. Tato analýza nám pomáhá najít několik rodin malwaru pro macOS, které používají k distribuci segmenty S3.
První kus malwaru schopný nativně běžet na počítačích Mac M1 byla objevena před několika dny . Technické podrobnosti o tomto druhém malwaru lze nalézt v Příspěvek na blogu Red Canary , a Ars Technica má dobrého vysvětlovače také.
jak rozmrazit macbook pro
Populární Příspěvky