Malware "Silver Sparrow"

[thulium]

https://www.rappler.com/technology/macintosh-computers-infected-malware-silver-sparrow-red-canary

Weiß dazu jemand von euch schon Genaueres?

Gibt es schon Tools, die einen Befall erkennen können? ...

 

[tocotronaut]

Red Canary says in its blog there is cause for worry because of its “relatively high infection rate” and “potentially impactful payload at a moment’s notice.”

Also wie es scheint gibt es bislang keine Payload und ob die nachgeladen werden kann und mit welchen Rechten die Payload läuft, falls sie überhaupt ausgeführt werden kann ist bislang nur Spekulation.

Schön ist der native M1 Support - da sollten sich andere Entwickler mal eine Scheibe von abschneiden...

Bis jetzt ist es schon fast ein halber Virus.... Trotzdem ist es natürlich nicht schön...

 

[oneOeight]

Der Artikel sagt doch Malwarebytes hat ein Sample.
Abgesehen davon muss auf dem M1 ja alles signiert sein, so dass Apple das Zertifikat ja wiederrufen kann.

 

[tocotronaut]

da hätte ich den Artikel ihn wohl mal lesen und nicht nur überfliegen sollen.

 

[Mihahn]

Für mehr Details ruhig den Artikel bei redcanary lesen: https://redcanary.com/blog/clipping-silver-sparrows-wings/ .
Edit: Wurde hier schon zitiert, überlesen. Sorry!

 

[tocotronaut]

war aber zufall, dass der link im zitat drin war...

 

[lisanet]

Also wie es scheint gibt es bislang keine Payload und ob die nachgeladen werden kann und mit welchen Rechten die Payload läuft, falls sie überhaupt ausgeführt werden kann ist bislang nur Spekulation.

Schön ist der native M1 Support - da sollten sich andere Entwickler mal eine Scheibe von abschneiden...

YMMD

 

[dg2rbf]

 

[oneOeight]

https://www.heise.de/news/Silver-Sparrow-Mysterioese-Malware-auf-ueber-29-000-Macs-entdeckt-5062066.html

Zertifikate sind zurück gezogen worden.

 

[tocotronaut]

manuelle installation, in den Launchagents ersichtlich, nix gemacht, zertifikate weg...

läuft nicht so bei denen...

aber ein guter proof of concept.


Vielleicht aber auch nur die jährliche Marketingkampagne von Malwarebytes... die übertreiben bekanntlich gern.
Februar '20: https://www.maclife.de/news/anzahl-malware-angriffe-macs-ueberholt-bedrohungen-windows-100116065.html
und im nachhinein war fast alles nur harmlose Adware und mehrere einträge des gleichen Programms wurde einzeln gezählt...

 

[oneOeight]

Hoffentlich hält die Apo Store Prüfung jetzt auch Ausschau nach den verdeckten Payload Nachladern.

 

[Badoshin]

manuelle installation, in den Launchagents ersichtlich, nix gemacht, zertifikate weg...

läuft nicht so bei denen...

aber ein guter proof of concept.


Vielleicht aber auch nur die jährliche Marketingkampagne von Malwarebytes... die übertreiben bekanntlich gern.
Februar '20: https://www.maclife.de/news/anzahl-malware-angriffe-macs-ueberholt-bedrohungen-windows-100116065.html
und im nachhinein war fast alles nur harmlose Adware und mehrere einträge des gleichen Programms wurde einzeln gezählt...

Warum sollten sie so etwas auf einmal tun?

 

[einseinsnull]

Abgesehen davon muss auf dem M1 ja alles signiert sein, so dass Apple das Zertifikat ja wiederrufen kann.

hm, soweit die propaganda.

and now to something completely different: the spanish reality!

 

[oneOeight]

Neuere Analysen:

https://www.heise.de/news/Sicherheitsfirma-Mysterioeser-Mac-Trojaner-Silver-Sparrow-wohl-Adware-5071136.html

 

[tocotronaut]

tja, wie gesagt... fast schon ein halber Virus....