Nagyon rejtélyes a Mac-eket fertőző legújabb vírus

​Továbbra sem lehet tudni, hogy a 30 ezer Mac számítógépet megfertőző kártékony programnak mi a célja.
 

A Silver Sparrow névre keresztelt kártékony program feladja a leckét a biztonsági kutatóknak. Már a felismerése sem volt egyszerű, de az elemzése további rejtélyekkel szolgál. Annak ellenére nehéz megfejteni a károkozó valódi célját, hogy már a Red Canary, a Malwarebytes és a VMware Carbon Black biztonsági csapatai is szoros együttműködésben dolgoznak a károkozó feltérképezésén.
 
Az eddigi információk szerint a Silver Sparrow eddig megközelítőleg 30 ezer macOS alapú számítógépre került fel. Összesen 153 országban lehetett kimutatni a jelenlétét, de elsősorban az Egyesült Állomokban, az Egyesült Királyságban, Kanadában, Franciaországban és Németországban van jelen nagyobb számban. A fű alatt széles körben elterjedő károkozó jelenleg nem okoz komoly károkat a számítógépeken, de ettől még felhívja a figyelmet arra, hogy Mac-es környezetben sem érdemes félvállról venni a kártékony programok által jelentett kockázatokat.
 
Hogyan működik?
 
A Silver Sparrow jelenleg két fájl formájában terjed: egy updater.pkg és egy update.pkg nevű állomány segítségével. A kettő között az a különbség, hogy az update.pkg két binárist foglal magában, így az Intel x86_64, valamint az Apple M1 alapú rendszereken is képes a fertőzésre. Ezzel szemben a másik fájl kizárólag az inteles kódot tartalmazza.
 
Az újonnan detektált károkozó fontos jellemzője, hogy a hasonló ártalmas programoktól eltérően nem alkalmaz úgynevezett preinstall és postinstall scripteket. Ehelyett JavaScriptekre támaszkodik, amivel megnehezíti a detektálását, hiszen a parancsait hatékonyabban tudja leplezni. Emellett segítségül hívja a LaunchAgentet is, és ennek révén óránként kapcsolódik a vezérlőszervereihez. Rendszeresen ellenőrzi, hogy az adott számítógépen létezik-e, illetve létrejön-e egy "~/Library/._insu" nevű fájl. Amennyiben ezt megtalálja, akkor azonnal leállítja a működését, és törli az állományait.
 
A károkozó vizsgálata során a károkozó ugyan igyekezett kapcsolódni a vezérlőszerveihez, de azokról nem töltött le újabb fájlokat, illetve nem kapott azokról parancsokat. Így aztán továbbra sem lehet tudni, hogy a vírusíróknak mi a pontos céljuk a szerzeményükkel. Az is lehet, hogy még erőteljesen fejlesztési fázisban van a kártevő. Ez azért nem túl jó hír, mert így is rengeteg számítógépre tudott észrevétlenül feljutni.
 
Védekezés
 
A szakemberek a macOS alapú rendszerek esetében is azt javasolják, hogy a vírusvédelmet mindenki vegye komolyan. Emellett közölték, hogy a Silver Sparrow esetleges jelenlétét - víruskereső hiányában - az alábbi parancsok Terminálból történő futtatásával és elemzésével lehet kimutatni:
ps -aex | grep -i buddy
ps -aex | grep -i curl | grep -i amazon
ps -aex | grep -i sqlite3 | grep -i LSQuarantine