黑客24小时在线接单网站

黑客在线接单,网站入侵,渗透测试,渗透网站,入侵网站

Mac新恶意软件Silver Sparrow的奥秘

*** 安全公司Red Canary上周发布了一个名字Silver Sparrow的Mac新恶意软件的调查结果。恶意软件是之一个包含在内的Apple新型M1本机芯片代码的恶意软件。但是,恶意软件的未知信息实际上比已知软件更有趣!

安装

我们知道恶意软件被称为update.pkg或updater.pkg的Apple安装程序包(.pkg安装文件。但是,我们不知道这些文件是如何传递给用户的。

这些.pkg文件包含JavaScript这些代码可以在安装真正开始之前运行。然后问用户是否允许程序运行“确定是否可以安装软件”。

Mac新恶意软件Silver Sparrow的奥秘

这意味着如果你单击“继续”,然后考虑后退出安装程序,已经太晚了。你被感染了。

恶意软件生命周期

恶意JavaScript代码为当前用户安装了启动 *** plist文件设计为每小时启动一次verx.sh该脚本具有多种功能。

首先,它将与以前一起托管Amazon AWS上述命令与控制服务器联系。在分析过程中,其返回的数据如下:

Mac新恶意软件Silver Sparrow的奥秘

接下来,恶意软件将检查文件~/Library/._insu。从Malwarebytes数据显示,这似乎是一个零字节文件,恶意软件只是用它作为标记来指示删除自己。在这种情况下,脚本执行了这个操作,然后退出了。

最后,它将试图确定是否有更新版本的恶意软件(如果最终有效负载尚未安装,则将始终如此)。如果是这样,它将从命令和控制服务器的数据开始downloadUrl参数提供的URL下载有效payload。

但是,从数据中可以看出,在分析中,下载URL空白。虽然我们知道脚本会有效payload存储在/ tmp / verx然而,我们还没有在任何感染计算机上看到这种效果payload任何例子。

若实际下载有效payload,它将以args数据作为参数启动。

.pkg文件与JavaScript删除的文件不同,它还安装了应用程序Applications文件夹中.pkg该应用程序的名称是文件版本“tasker”或“updater”。这两个应用程序似乎都是非常简单的占位符应用程序,它们没有其他有趣的地方。

在野的Silver Sparrow

Malwarebytes的研究人员与红金丝雀的研究人员在他们的发现上进行了合作,并在这一点上收集了有关感染的重要数据。在撰写本文时,我们已经看到39,080台具有Malwarebytes检测到的Silver Sparrow组件的特殊计算机。

这些测试主要集中在美国,超过2.5万台特殊计算机被检测到Silver Sparrow。当然,这也是因为Malwarebytes美国有大量的客户群,但通过164个国家的测试,恶意软件确实很常见。

Mac新恶意软件Silver Sparrow的奥秘

Silver Sparrow各国的检测情况

检测到的路径显示了一个非常有趣的模式。事实上,绝大多数“感染”由._insu该文件的计算机没有任何其他组件预期相同)。

Mac新恶意软件Silver Sparrow的奥秘

Malwarebytes的检测

结论

目前还没有看到/tmp/verx有效payload,安装没有感染的计算机。Red Canary这意味着我们对恶意软件的意图知之甚少。

是的,Malwarebytes保护您的Mac免受Silver Sparrow的攻击。

服务器的命令和控制(upbuchupsf)的数据中的args值似乎类似于广告软件经常使用的辅助代码。然而,我们不能基于十个字符串来假设,因为这样的假设很容易出错。毕竟,卖给多个人并使用的恶意软件很可能包含一些“客户代码”。

有趣的是,._insu有这么多的文件,因为它表明恶意软件应该删除自己(尽管我们不知道如何创建文件),这是一个强有力的证据,表明它以前可能是一台被感染的电脑。

因此,这种感染很可能发生在最近的某个时候,但操作员发出了沉默“kill”命令导致恶意软件删除自己。这可能对应于最新恶意安装程序的首次出现,恶意软件安装程序已经上载到VirusTotal,这可以向创作者展示恶意软件已经被发现,当然也可能是其他事件提示的。

根据Red Canary根据调查结果,这些机器不太可能长期感染,因为这两个命令和控制服务器域是在2020年8月和2020年12月注册的。

Malwarebytes这些文件的检测是OSX.SilverSparrow。

本文翻译自:

https://blog.malwarebytes.com/mac/2021/02/the-mystery-of-the-silver-sparrow-mac-malware/

   
  • 评论列表:
  •  澄萌喜余
     发布于 2022-05-30 09:40:00  回复该评论
  • 或updater.pkg的Apple安装程序包(.pkg安装文件。但是,我们不知道这些文件是如何传递给用户的。这些.pkg文件包含JavaScript这些代码可以在安装真正开始之前运行。然后问用户是否允许程序运行“确定是否可以安装软件”。这意味着如果你单击“继续”,然后考
  •  鸢旧鹿鸢
     发布于 2022-05-30 02:51:56  回复该评论
  • s值似乎类似于广告软件经常使用的辅助代码。然而,我们不能基于十个字符串来假设,因为这样的假设很容易出错。毕竟,卖给多个人并使用的恶意软件很可能包含一些“客户代码”。有
  •  青迟僚兮
     发布于 2022-05-30 10:56:07  回复该评论
  • 攻击。服务器的命令和控制(upbuchupsf)的数据中的args值似乎类似于广告软件经常使用的辅助代码。然而,我们不能基于十个字符串来假设,因为这样的假设很容易

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.