Appleシリコン(M1)搭載Macに「最適化」されたマルウェア「Silver Sparrow」が、Macに潜んでいないかを確認する方法をご紹介します。「Silver Sparrow」は、M1搭載Macだけでなく、Intel製CPU搭載Macにも侵入します。
M1搭載MacとIntel製CPU搭載Mac、どちらも標的に
先日、Appleシリコン搭載Macを標的にしたマルウェア「Silver Sparrow」の存在が明らかになりました。
Appleやセキュリティ企業が早速、対策に取り組んでいますが、現時点では拡散経路や具体的な影響についての確定的な情報はありません。
「Silver Sparrow」は、Appleシリコン、つまりM1搭載Macだけでなく、Intel製CPU搭載のMacにも侵入することが確認されています。
Finderでのファイル検索で確認可能
セキュリティ企業Red Canaryは、M1搭載MacとIntel製CPU搭載Macのそれぞれについて、MacのFinderでファイル名を検索して「Silver Sparrow」の有無を確認する方法を紹介しています。
検索するファイルは、以下の4つです。もし、いずれかが発見された場合、「Silver Sparrow」が潜んでいると考えられます。
- ~/Library/._insu
- /tmp/agent.sh
- /tmp/version.json
- /tmp/version.plist
1. AppleシリコンとIntel製CPU搭載Macの両方に侵入するバージョン
「Silver Sparrow」には、2つのバージョンがあり、1つはAppleシリコンとIntel製CPUのどちらにも侵入します。
このバージョンは「update.pkg」ファイルを使って侵入し、ペイロード(マルウェアの実行コード)は「tasker.app/Contents/MacOS/tasker」で、以下のファイルを生成します。
- specialattributes.s3.amazonaws[.]com
- ~/Library/Application Support/verx_updater/verx.sh
- /tmp/verx
- ~/Library/Launchagents/verx.plist
- ~/Library/Launchagents/init_verx.plist
Finderで検索して上記のファイルがヒットすれば、「Silver Sparrow」の影響を受けている可能性があります。
2. Intel製CPU搭載Macに侵入するバージョン
Intel製CPU搭載Macだけを標的にしたバージョンの「Silver Sparrow」も、「update.pkg」ファイルを使って侵入し、以下のファイルを生成します。
- mobiletraits.s3.amazonaws[.]com
- ~/Library/Application Support/agent_updater/agent.sh
- /tmp/agent
- ~/Library/Launchagents/agent.plist
- ~/Library/Launchagents/init_agent.plist
引き続き注意を
「Silver Sparrow」の詳細な影響範囲などは不明ですが、上記の方法でマルウェアの侵入が確認できなかった場合も、引き続き、怪しいファイルを開かないなど、ご注意ください。
Source:Red Canary via Cult of Mac
Photo:Apple
(hato)
- Original:https://iphone-mania.jp/news-349316/
- Source:iPhone Mania
- Author:iPhone Mania