Zo vind (en verwijder) je de nieuwe Mac malware
Een mysterieuze vorm van Mac-malware is in de omloop. Zeker 30.000 Macs zijn sinds kort geïnfecteerd door een kwaadaardige code, genaamd Silver Sparrow. Opvallend is dat de malware ook native op Apple’s M1-chip draait. In dit artikel lees je hoe je erachter komt of jouw Mac ook is geïnfecteerd.
Silver Sparrow malware Mac
Beveiligingsonderzoekers ontdekten deze week een malware die tienduizenden Mac-gebruikers over meer dan 150 landen treft. Het is een van de eersten die native code bevat voor Apple’s nieuwe M1-chips.
De Jack Sparrow-code is vooralsnog bijzonder mysterieus. Bekend is dat de malware geïnstalleerd wordt via installatieprogramma’s. Dit zijn .pkg-bestanden. Hierbij is de malware verborgen in bestanden met de naam updater.pkg en update.pkg. Het is alleen nog niet duidelijk via welke programma’s dit gebeurt.
Kwaadaardig?
kooptip
De iPhone 16 Pro Max nu met €100 inruilbonus!
Maximale korting en dubbele data als je thuis internet van KPN hebt
Wat de malware ook merkwaardig maakt, is dat het nog onduidelijk is wat het doet. De onderzoekers hebben de payload nog niet vastgesteld. Dit is het deel van de malware dat kwaadaardige acties uitvoert.
Dat betekent niet dat die kwaadaardige acties er nog niet kunnen komen. Het ontbreken van de payload suggereert dat de malware mogelijk in actie komt zodra aan een nog onbekende voorwaarde is voldaan, zeggen de onderzoekers.
Inmiddels heeft Apple ingegrepen om een verdere verspreiding van de Silver Sparrow-malware te voorkomen. De ontwikkelaarscertificaten zijn ingetrokken waarmee het virus zich kon verspreiden, laat het bedrijf weten aan MacRumors. Daarmee kunnen nieuwe Macs volgens Apple niet meer worden geïnfecteerd.
Silver Sparrow malware opsporen
Zoals gezegd kan de malware zowel op Intel-Macs als de nieuwe Macs met M1-chips staan. Er is nog veel onbekend over de malware, maar beveiligingsbedrijf Red Canary heeft wel een paar bestanden gevonden die Jack Sparrow aan geïnfecteerde Macs toevoegt. Het gaat om de volgende bestanden:
- ~/Bibliotheek/._insu
- /tmp/agent.sh
- /tmp/version.json
- /tmp/version.plist
De beste manier om ze op te sporen, is door Finder te openen en via het menu naar ‘Ga>Ga naar map’ te gaan. Daar voer je een van de bovenstaande bestandspaden in. Zie je ze niet? Dan is je Mac als het goed is niet geïnfecteerd.
Silver Sparrow malware verwijderen
Als je Mac besmet is met de Silver Sparrow malware, dan verwijder je de eerder genoemde bestanden. Daarnaast zijn er nog wat meer bestanden die je naar de Prullenmand moet slepen.
Welke dat zijn, hangt af van of je de eerste of tweede versie van Silver Sparrow hebt. De eerste versie was er alleen voor Intel Macs. De tweede voor Macs met M1-processor en Intel-Macs.
De bestanden zijn op te sporen door in Finder een zoekopdracht uit te voeren. Sleep ze daarna naar de Prullenmand en verwijder ze ook daar.
Versie voor M1 Macs en Intel
- update.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149 - tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af - specialattributes.s3.amazonaws[.]com
- ~/Library/Application Support/verx_updater/verx.sh
- /tmp/verx
- ~/Bibliotheek/Launchagents/verx.plist
- ~/Bibliotheek/Launchagents/init_verx.plist
Eerste versie van Silver Sparrow (alleen Intel Macs)
- updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa - Bestandsnaam: updater
MD5: c668003c9c5b1689ba47a431512b03cc - mobiletraits.s3.amazonaws[.]com
- ~/Bibliotheek/Application Support/agent_updater/agent.sh
- /tmp/agent
- ~/Bibliotheek/Launchagents/agent.plist
- ~/Bibliotheek/Launchagents/init_agent.plist
Bron: Red Canary, Ars Technica, MacRumors
Praat mee
0