Apple, qualche indizio per individuare il nuovo malware Silver Sparrow

Il dibattito su diffusione e potenzialità dell’ultimo malware che ha colpito i Mac con M1 e con CPU Intel continua a tener banco dopo il recente blocco da parte di Apple delle certificazioni all’account responsabile dello sviluppo del virus informatico.

Malware (Adobe Stock)
Malware (Adobe Stock)

Da ormai diversi giorni, sta tenendo banco la discussione sul nuovo Malware per macOS, Silver Sparrow. A destare l’attenzione degli esperti, dal momento della scoperta da parte di Red Canary, la particolarità di essere scritto nativamente e distribuito anche per SoC M1 (Apple Silicon), oltre che per Mac Intel.

Dopo aver infettato un quantitativo approssimativo di 30mila sistemi sparsi per il globo – anche se i numeri potrebbero essere maggiori – è arrivata puntuale la contromossa dell’azienda di Cupertino.

Apple, infatti, aveva bloccato la firma digitale dell’autore, impedendo di fatto al programma di continuare a replicarsi su nuove macchine.

Ma come riconoscere il nuovo malware che ha investito i nuovi sistemi Apple?

Apple M1
Apple M1 (Fonte foto: Apple.com)

Come notato dalle attività di analisi dell’azienda di sicurezza Red Canary, sono state rintracciate nel codice del virus alcune funzionalità tra cui: la possibilità di auto-eliminarsi e quella di verificare periodicamente la presenza di payload (codice malevolo aggiuntivo) su dei server che facevano uso di Amazon Web Services e i nodi di distribuzione di Akamai.

Né nel primo né nel secondo caso, però, sarebbero state segnalate interazioni da parte del malware, rimasto  del tutto inattivo.

Ma cosa fa una volta installato? Come modifica il sistema dopo il suo avvio? E soprattutto, come riconoscerne la presenza?

Esisterebbero – dalle informazioni raccolte da Red Canary – due diverse versioni di Silver Sparrow: una variante per M1 e Intellx86_64 e una appositamente realizzata per sistemi ARM. E recherebbero, in entrambi casi, i certificati revocati da Apple.

I file di installazione di ambedue le versioni porterebbero il nome “Update.pkg” e creerebero, in fase di avvio, file e script che i ricercatori di Red Canary hanno scovato in alcune directory di sistema e che potrebbero aiutare a verificare l’eventuale presenza del malware:

~ / Library /._ insu

/tmp/agent.sh

/tmp/version.json

/ tmp / version.plist

LEGGI ANCHE >>> Gmail, novità in chiave privacy: l’aggiunta di Google

Oltre a queste variazioni, nella prima versione rintracciata dagli esperti (con hash MD5 30c9bc7d40454e501c358f77449071aa) vi sarebbero ulteriori tracce lasciate da Silver Sparrow in versione per Mac Intel:

mobiletraits.s3.amazonaws [.] com

~/Library/Application Support/agent_updater/agent.sh

/tmp/agent

~/Library/Launchagents/agent.plist

~/Library/Launchagents/init_agent.plist

POTREBBE INTERESSARTI >>> Niente più “pixel rosa” sui monitor collegati ai Mac mini M1, Apple lavora ad una soluzione

Mentre la seconda versione compilata appositamente per Mac ARM (con hash MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149 per il file d’installazione update.pkg) creerebbe le seguenti variazioni:

specialattributes.s3.amazonaws[.]com

~/Library/Application Support/verx_updater/verx.sh

/tmp/verx

~/Library/Launchagents/verx.plist

~/Library/Launchagents/init_verx.plist

Gestione cookie