Silver Sparrow Malware en Mac: Lo que hay que saber
Durante el fin de semana comenzaron a surgir informes sobre un nuevo tipo de malware conocido como Silver Sparrow en macOS que fue descubierto por primera vez por el Red Canary investigadores de seguridad.
En contra de algunos informes no sólo afecta a los nuevos Mac M1, sino también a los Mac Intel que son la gran mayoría de los Mac que existen.
Cada vez que se descubre una nueva pieza de malware en Mac, suele haber mucha histeria y confusión sobre lo peligroso que es exactamente y lo que hace.
Muchos detectores de malware, como MalwareBytes para Mac se han actualizado para eliminar Silver Sparrow de su Mac.
Aquí hemos echado un vistazo a los mitos y realidades de Silver Sparrow en Mac y lo que deberías saber.
¿Qué Macs infecta Silver Sparrow?
Silver Sparrow se descubrió inicialmente en los nuevos Mac de silicona de Apple con chips M1, pero también se ha encontrado en los Mac de Intel.
Puede comprobar qué Mac tiene yendo al logotipo de Apple en la parte superior izquierda de su escritorio y seleccionando "Acerca de este Mac".
¿Cómo infecta Silver Sparrow a un Mac?
Por el momento no se conoce del todo el origen, pero parece ser un archivo de instalación que se hace pasar por una actualización de macOS.
Se entiende que utiliza JavaScript para ejecutarse, lo que no se había visto antes en ningún malware detectado en Mac.
Apple ya ha eliminado los binarios y ha revocado los certificados de las cuentas de desarrolladores que se utilizaron para firmar los paquetes que permitieron a Silver Sparrow instalarse en un Mac.
Así que ya no hay forma de infectar tu Mac con Silver Sparrow mediante algo descargado de la Mac App Store.
¿Qué hace Silver Sparrow?
Se entiende que el malware Silver Sparrow aprovecha la API JavaScript del instalador de macOS para ejecutar comandos sospechosos.
Hasta ahora se entiende que ha infectado alrededor de 30.000 Macs en unos 150 países diferentes y está utilizando Amazon Web Services más Akamai para propagarse.
Al parecer, Silver Sparrow se comunica con estos servicios para buscar comandos que ejecutar en macOS, pero hasta ahora no se ha emitido ningún comando.
De momento, cuando se ejecuta en Macs Intel, Silver Sparrow se limita a mostrar un simple mensaje de "¡Hola Mundo!":
En los Macs M1, el mismo mensaje dice "¡Lo has conseguido!" con un fondo rojo:
¿Qué tan dañino es?
Hasta el momento, no hay pruebas de que Silver Sparrow sea perjudicial para su Mac o sus datos, aparte de mostrar los molestos mensajes anteriores.
Hasta ahora no se ha detectado ninguna "carga útil" o intención maliciosa, por lo que su propósito es algo misterioso.
¿Cómo puedo detectar Silver Sparrow?
Por el momento, los proveedores de antimalware están actualizando rápidamente su software para detectar Silver Sparrow en Mac.
La mejor oportunidad de detectarlo en macOS es utilizar MalwareBytes para Mac que ahora se ha actualizado para detectarlo y eliminarlo.
Según el Informe de Red Canary que descubrió por primera vez Silver Sparrow, la única forma de detectar Silver Sparrow en su Mac por el momento es buscar los siguientes archivos en su Mac:
Versión 1 del malware
Nombre del archivo: updater.pkg (paquete instalador para la v1)
MD5: 30c9bc7d40454e501c358f77449071aaNombre del archivo: updater (binario de Intel Mach-O bystander en el paquete v1)
MD5: c668003c9c5b1689ba47a431512b03ccmobiletraits.s3.amazonaws[.]com (cubo de S3 que contiene version.json para v1)
~/Library/Application Support/agent_updater/agent.sh (script de la v1 que se ejecuta cada hora)
/tmp/agent (archivo que contiene la carga útil final de la v1 si se distribuye)
~/Library/Launchagents/agent.plist (mecanismo de persistencia de la v1)
~/Library/Launchagents/init_agent.plist (mecanismo de persistencia v1)
ID de desarrollador Saotia Seay (5834W6MYX3) - firma binaria de v1 bystander revocada por AppleVersión 2 del malware
Nombre del archivo: update.pkg (paquete instalador para la v2)
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149tasker.app/Contents/MacOS/tasker (bystander Mach-O Intel & Binario M1 en v2)
MD5: b370191228fef82635e39a137be470afspecialattributes.s3.amazonaws[.]com (cubo S3 que contiene la versión.json para la v2)
~/Library/Application Support/verx_updater/verx.sh (script de la v2 que se ejecuta cada hora)
/tmp/verx (archivo que contiene la carga útil final de v2 si se distribuye)
~/Library/Launchagents/verx.plist (mecanismo de persistencia v2)
~/Library/Launchagents/init_verx.plist (mecanismo de persistencia v2)
ID de desarrollador Julie Willey (MSZ3ZH74RK) - firma binaria de v2 bystander revocada por Apple
¿Cómo puedo eliminar Silver Sparrow?
Si puedes encontrar los archivos referenciados arriba, entonces puedes eliminarlos manualmente tú mismo.
Le recomendamos que utilice MalwareBytes para Mac también ya que suele ser el primero en actualizarse para eliminar nuevas amenazas de malware en macOS.
Tenga mucho cuidado al instalar cualquier otro software que afirme "eliminar Silver Sparrow en Mac", ya que muchos de ellos son programas maliciosos que no pueden hacer lo que afirman.
¿Dónde puedo encontrar más información sobre Silver Sparrow?
Silver Sparrow fue descubierto inicialmente por los ingenieros de Red Canary. Si quieres la información completa sobre lo que encontraron, puedes encontrarla aquí aunque es muy técnico y no es legible para los usuarios medios.
Si le ha resultado útil, puede que también quiera consultar nuestro completo revisión de Malwarebytes para Mac.
También puedes leer más sobre la decisión de Apple de cambiar de Intel a los chips Apple Silicon M1 aquí.
Relacionado
Deja una respuesta
Artículos Relacionados