Nieuwe Mac malware verbaast onderzoekers
21 februari 2021 - 11:28   
geplaatst door: Hajonides
Vreemde malware gevonden op zo'n 30.000 Macs, als te lezen op Ars Technica.
*^(&*^%$$^&%………………
Dsbrg, Gldrlnd
Nieuwe Mac malware verbaast onderzoekers
21 februari 2021 - 11:55    reactie #1
geplaatst door: puk1980
Hoe te detecteren:

https://redcanary.com/blog/clipping-silver-sparrows-wings/

Citaat
Once all the commands get written, two new scripts exist on disk:

/tmp/agent.sh
~/Library/Application Support/verx_updater/verx.sh


The agent.sh script executes immediately at the end of the installation to contact an adversary-controlled system and indicate that installation occurred. The verx.sh script executes periodically because of a persistent LaunchAgent to contact a remote host for more information.

In addition to the payload mystery, Silver Sparrow includes a file check that causes the removal of all persistence mechanisms and scripts. It checks for the presence of

~/Library/._insu

on disk, and, if the file is present, Silver Sparrow removes all of its components from the endpoint.

Indicators of Compromise, In Versions 1 & 2:

~/Library/._insu        (empty file used to signal the malware to delete itself)
/tmp/agent.sh           (shell script executed for installation callback)
/tmp/version.json      (file downloaded from from S3 to determine execution flow)
/tmp/version.plist      (version.json converted into a property list)

Al meer dan 20 jaar beheert Miep de MacMiepMacCursus op macmiep.nl & op macostutorial.com in het Engels èn Duits!
Nieuwe Mac malware verbaast onderzoekers
21 februari 2021 - 20:10    reactie #3
geplaatst door: Alvinus
Eh... dit nieuws wordt nu door de technisch bedreven piepels gedeeld en becommentarieerd en da’s mooi.

Wat doe ik, gewone gebruiker, met mijn M1? Ik zie weliswaar dat er ‘scripts on disk’ te detecteren zouden zijn (kan dat met FindAnyFile?) en er is zelfs een dingetje dat -indien aanwezig- de problemen spontaan doet verdwijnen. Zal aan mij liggen, maar hoe breng ik dat ~/Library/._insu in vredesnaam aan boord van mijn Mac?

Of helpt Malwarebytes mij van deze malware af?

Lijken me belangrijke vragen.
Nieuwe Mac malware verbaast onderzoekers
21 februari 2021 - 21:12    reactie #4
geplaatst door: Pshot
.
Bewerkt: 1 april 2021 - 10:48 door macqintosh
Nieuwe Mac malware verbaast onderzoekers
21 februari 2021 - 23:27    reactie #5
geplaatst door: Paradijs

Nadenken waar je je updates vandaan haalt maakt kans op besmetting al nihil.

Duidelijk gevalletje macOS en/of de M1 in diskrediet proberen te brengen.
Eerste opmerking helemaal mee eens. Tweede opmerking in mijn ogen wat kort door de bocht. Is het niet zo dat iedereen, dus ook de groep malwaremakers, probeert mee te liften op de hype van M1?
Loquendi Libertatem Custodiamus
Nieuwe Mac malware verbaast onderzoekers
21 februari 2021 - 23:35    reactie #6
geplaatst door: MacMiep
“Oh, u kunt zo’n dure Apple betalen?” Daar is wat te halen jongens! En die nieuwe snelle is populair, laten we gauw wat malware in elkaar draaien.
Al meer dan 20 jaar beheert Miep de MacMiepMacCursus op macmiep.nl & op macostutorial.com in het Engels èn Duits!
Nieuwe Mac malware verbaast onderzoekers
22 februari 2021 - 07:29    reactie #7
geplaatst door: jaco123
Ik vind het eigenlijk helemaal niet zo bijzonder. Het is nou niet alsof het voor 99% van de software zo ingewikkeld is om er een universal binary van te maken. Ik zit nog niet op Big Sur en kan het niet controleren, maar Apple kennende zou dat zomaar eens de default instelling kunnen zijn in Xcode. Oftewel: als programmeur hoef je hier eigenlijk niks voor te doen om je code voor zowel Intel als M1 native te laten werken. (mogelijk is het zelfs omgekeerd...)
Nieuwe Mac malware verbaast onderzoekers
22 februari 2021 - 08:59    reactie #8
geplaatst door: Spooter
Nieuwe Mac malware verbaast onderzoekers
22 februari 2021 - 20:25    reactie #9
geplaatst door: Pshot
.
Bewerkt: 1 april 2021 - 10:48 door macqintosh