M1もIntel CPU搭載Macも標的!マルウェアの侵入を確認する方法

    Apple Mac セキュリティ

    Apple Mac セキュリティ
     
    Appleシリコン(M1)搭載Macに「最適化」されたマルウェアSilver Sparrow」が、Macに潜んでいないかを確認する方法をご紹介します。「Silver Sparrow」は、M1搭載Macだけでなく、Intel製CPU搭載Macにも侵入します。

    M1搭載MacとIntel製CPU搭載Mac、どちらも標的に

    先日、Appleシリコン搭載Macを標的にしたマルウェアSilver Sparrow」の存在が明らかになりました。
     
    Appleやセキュリティ企業が早速、対策に取り組んでいますが、現時点では拡散経路や具体的な影響についての確定的な情報はありません。
     
    「Silver Sparrow」は、Appleシリコン、つまりM1搭載Macだけでなく、Intel製CPU搭載のMacにも侵入することが確認されています。

    Finderでのファイル検索で確認可能

    セキュリティ企業Red Canaryは、M1搭載MacとIntel製CPU搭載Macのそれぞれについて、MacのFinderでファイル名を検索して「Silver Sparrow」の有無を確認する方法を紹介しています。
     
    検索するファイルは、以下の4つです。もし、いずれかが発見された場合、「Silver Sparrow」が潜んでいると考えられます。
     

    • ~/Library/._insu
    • /tmp/agent.sh
    • /tmp/version.json
    • /tmp/version.plist

     

    1. AppleシリコンとIntel製CPU搭載Macの両方に侵入するバージョン

    「Silver Sparrow」には、2つのバージョンがあり、1つはAppleシリコンとIntel製CPUのどちらにも侵入します。
     
    このバージョンは「update.pkg」ファイルを使って侵入し、ペイロード(マルウェアの実行コード)は「tasker.app/Contents/MacOS/tasker」で、以下のファイルを生成します。
     

    • specialattributes.s3.amazonaws[.]com
    • ~/Library/Application Support/verx_updater/verx.sh
    • /tmp/verx
    • ~/Library/Launchagents/verx.plist
    • ~/Library/Launchagents/init_verx.plist

     
    Finderで検索して上記のファイルがヒットすれば、「Silver Sparrow」の影響を受けている可能性があります。

     

    2. Intel製CPU搭載Macに侵入するバージョン

    Intel製CPU搭載Macだけを標的にしたバージョンの「Silver Sparrow」も、「update.pkg」ファイルを使って侵入し、以下のファイルを生成します。
     

    • mobiletraits.s3.amazonaws[.]com
    • ~/Library/Application Support/agent_updater/agent.sh
    • /tmp/agent
    • ~/Library/Launchagents/agent.plist
    • ~/Library/Launchagents/init_agent.plist

    引き続き注意を

    「Silver Sparrow」の詳細な影響範囲などは不明ですが、上記の方法でマルウェアの侵入が確認できなかった場合も、引き続き、怪しいファイルを開かないなど、ご注意ください。
     
     
    Source:Red Canary via Cult of Mac
    Photo:Apple
    (hato)

    この記事がお役に立ったらシェアお願いします
    目次