Questo sito contiene link di affiliazione per cui può essere compensato

Home » Tutorial e FAQ » Come verificare se nei Mac M1 e Intel c’è il malware Silver Sparrow

Come verificare se nei Mac M1 e Intel c’è il malware Silver Sparrow

Pubblicità

Apple ha bloccato l’account sviluppatore che è stato sfruttato per diffondere Silver Sparrow, malware che ha la peculiarità di essere già compilato non solo per i Mac Intel ma anche per i muovi Mac M1. Con questa mossa, secondo la multinazionale di Cupertino, il malware diventa inoffensivo e non può in alcun modo infettare altri Mac.

Non sono noti tutti i dettagli di questo misterioso malware, ma Silver Sparrow interroga server remoti, in attesa di istruzioni da eseguire, quello che in gergo viene definito come payload. Ad ogni modo gli esperti di sicurezza dichiarano che, dal momento della scoperta, Silver Sparrow sembra non aver eseguito alcuna azione dannosa, in ogni caso il pericolo potenziale era concreto e consistente, per questa ragione è stato dato l’allarme e per la stessa ragione Apple ha risposto prontamente.

Malware

L’assenza di un payload lascia immaginare che il malware sarebbe dovuto entrare in azione al verificarsi di determinate condizioni; condizioni che, al momento, restano ignote ma poco importa, giacché Apple ha neutralizzato il certificato sviluppatore utilizzato dai cybercriminali per creare il malware Silver Sparrow.

Si stima che il malware Silver Sparrow avrebbe infettato circa 30.000 Mac in tutto il mondo, ma secondo altri esperti di sicurezza Mac il numero reale è senza dubbio molto più grande. Come verificare se nel Mac è eventualmente presente il malware in questione? Lo spiega la società di sicurezza Red Canary, riferendo che il payload consiste in un segnaposto; la versione per Mac con M1 visualizza il messaggio: ““You did it!”. I file che hanno a che fare con Silver Sparrow – secondo Red Canary – sono:

~/Library/._insu

/tmp/agent.sh

/tmp/version.json

/tmp/version.plist

I file in questione possono essere individuati con il file manager di macOS. Sembra ci siano DUE versioni di Silver Sparrow: una per i Mac con CPU Intel, l’altra eseguibile nativamente sia sui Mac con architettura Intel, sia su quelli con processore M1. La versione del malware che riguarda i Mac con CPU M1 o Intel si trova in un pacchetto denominato “update.pkg” con hash crittografico MD5 “fdd6fb2b1dfe07b0e57d4cbfef9c8149”; il payload è:

tasker.app/Contents/MacOS/tasker

con hash crittografico MD5 “b370191228fef82635e39a137be470af”;

Questa versione di Silver Sparrow crea inoltre questi file:

specialattributes.s3.amazonaws[.]com

~/Library/Application Support/verx_updater/verx.sh

/tmp/verx

~/Library/Launchagents/verx.plist

~/Library/Launchagents/init_verx.plist

Di nuovo, una ricerca permette di individuare la presenza di questi file. L’ID dello sviluppatore bloccato da Apple è quello di Julie Willey (MSZ3ZH74RK). Apple ha revocato l’account di questo sviluppatore impedendo l’ulteriore diffusione del malware.

Come identificare Silver Sparrow sui Mac con CPU Intel

La prima versione di SIlver Sparrow in grado di “infettare” solo i Mac con processori Intel arriva su questi file:

updater.pkg
Hash MD5: 30c9bc7d40454e501c358f77449071aa

Il payload si trova in un file denominato “updater” il cui hash MD5 è c668003c9c5b1689ba47a431512b03cc. Questa versione di Silver Sparrow crea i seguenti file:

mobiletraits.s3.amazonaws[.]com

~/Library/Application Support/agent_updater/agent.sh

/tmp/agent

~/Library/Launchagents/agent.plist

~/Library/Launchagents/init_agent.plist

Il payload è firmato con il Developer ID di Saotia Seay (5834W6MYX3) anche questo revocato da Apple.

Ricordiamo che se si tenta di aprire un’app che non è registrata con Apple da uno sviluppatore identificato, apparirà una finestra di avviso. Questo non significa necessariamente che ci sia un problema con l’app. Per esempio, alcune app potrebbero essere state scritte prima che iniziasse il processo di registrazione ID degli sviluppatori. Tuttavia, il messaggio indica che l’app non è stata sottoposta a un controllo e macOS non può verificare se è stata modificata o danneggiata dopo il suo rilascio.Apple interviene per bloccare il malware Silver Sparrow

Un modo comunemente usato per diffondere malware è quello di prendere un’app e inserirvi codice dannoso, quindi ridistribuire l’app infetta. Perciò un’app che non è registrata proveniente da uno sviluppatore non identificato potrebbe contenere codice dannoso. L’approccio più sicuro è quello di cercare l’ultima versione dell’app direttamente su Mac App Store o un’app alternativa.

È possiible concedere un’eccezione per un’app bloccata facendo clic sul pulsante “Apri comunque” nel pannello Generali delle preferenze “Sicurezza e Privacy”. Questo pulsante è disponibile per circa un’ora dopo che si tenta di aprire l’app.

A questo indirizzo un nostro articolo sul malware in generale e su come tenere al sicuro il Mac. Tutti gli articoli di macitynet che parlano di Mac M1 sono disponibili da questa pagina, invece per tutti gli articoli dedicati alla sicurezza informatica si parte da qui.

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Offerte Speciali

Dieci regali Apple da acquistare su Amazon con consegna prima di Natale

I migliori prodotti Apple con sconto su Amazon e che arrivano entro Natale

Arrivano in tempo per i vostri acquisti di fine anno. Comodissimi per chiudere un bilancio con le spese più utili per il lavoro.
Pubblicità

Ultimi articoli

Pubblicità