Auf rund 30.000 Macs in mehr als 150 Ländern wurde die Existenz einer neuartigen Schadsoftware mittlerweile nachgewiesen. Die Dunkelziffer der Installationen von "Silver Sparrow" dürfte allerdings deutlich höher liegen. Betroffen sind sowohl Computer mit Intel-Prozessoren als auch die drei neuen Rechner aus Cupertino, in denen Apples hauseigener M1-Chip arbeitet. In dieser Meldung erklären wir, wie der Schädling auf den Mac gelangen könnte, welche Gegenmaßnahmen Apple ergriffen hat und wie man die Malware auf dem eigenen Rechner aufspüren kann.
Was ist "Silver Sparrow" und wie kommt er auf den Mac?Bei "Silver Sparrow" handelt es sich um einen Trojaner, welcher allerdings zunächst keinen Schadcode beinhaltet. Dieser könnte zu einem unbekannten späteren Zeitpunkt aus dem Internet nachgeladen werden. Nach Angaben der Sicherheitsexperten von
Red Canary, die den Schädling entdeckten, ist das allerdings bisher in keinem Fall geschehen. Die Malware wird in Form von signierten Installationspaketen verteilt, welche die Namen "updater.pkg" (Intel-Macs, Developer-ID: Saotia Seay, 5834W6MYX3) und "update.pkg" (Universal Binary, Developer-ID: Julie Willey, MSZ3ZH74RK) tragen. Diese müssen vom Mac-Nutzer ausgeführt werden, damit "Silver Sparrow" auf dem Computer aktiv werden kann. Die genauen Verbreitungswege sind noch unklar, vermutlich wird die Malware als reguläre Mac-Software mit mehr oder weniger bekannten Namen außerhalb des Mac App Stores beworben.
Welche Gegenmaßnahmen hat Apple getroffen?Die verteilten Exemplare von "Silver Sparrow" sind mit legitimen Entwickler-Zertifikaten signiert. Apple hat die Zertifikate nach eigenen Angaben mittlerweile zurückgezogen, das berichtet
MacRumors. Mit dieser Maßnahme verhindert das kalifornische Unternehmen, dass der Schädling weitere Macs befällt. Zudem wird "Silver Sparrow" auf bereits infizierten Rechnern nicht mehr ausgeführt, da seit Anfang Februar dieses Jahres auf allen Systemen ab macOS High Sierra nur noch von Apple beglaubigte Apps laufen, welche mit einer gültigen Notarisierung versehen sind. Diese wird stets beim Start einer App überprüft.
Wie spürt man einen Befall mit "Silver Sparrow" auf?Apples in macOS enthaltenes Anti-Malware-Tool XProtect schlägt nach derzeitigem Kenntnisstand nicht auf "Silver Sparrow" an. Daher sind manuelle Maßnahmen erforderlich, um einen Befall mit der Schadsoftware aufzuspüren. Die Malware legt auf der System-SSD beziehungsweise -Festplatte einige Dateien ab, welche auf ihre Existenz hindeuten. Bei beiden Versionen von "Silver Sparrow" sind das die folgenden Files:
~/Library/._insu
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist
Bei der Intel-Variante kommen die folgenden drei Dateien hinzu:
~/Library/Application Support/agent_updater/agent.sh
~/Library/LaunchAgents/agent.plist
~/Library/LaunchAgents/init_agent.plist
Das Universal Binary für Intel- und M1-Macs schreibt diese Files auf den Datenträger:
~/Library/Application Support/verx_updater/verx.sh
~/Library/LaunchAgents/verx.plist
~/Library/LaunchAgents/init_verx.plist
Das Vorhandensein der verräterischen Dateien lässt sich mit folgenden Terminal-Befehlen ermitteln:
ls -l ~/Library/._insu
ls -l ~/tmp/
ls -l ~/Library/"Application Support"/agent_updater/agent.sh
ls -l ~/Library/LaunchAgents/agent.plist
ls -l ~/Library/LaunchAgents/init_agent.plist
ls -l ~/Library/"Application Support"/verx_updater/verx.sh
ls -l ~/Library/LaunchAgents/verx.plist
ls -l ~/Library/LaunchAgents/init_verx.plist
Die Tilde (~,
N) steht hierbei für den pesönlichen Benutzerordner. Alternativ kann man auch mithilfe des Finders in den entsprechenden Verzeichnissen nach den Dateien Ausschau halten:
G, anschließend den Namen des Ordners eingeben, also beispielsweise "~/Library/Launchagents".
Was tun, wenn der Schädling auf dem Rechner ist?Sollte der Mac von "Silver Sparrow" befallen sein, kann man versuchen, die Malware mit einer Antivirensoftware zu entfernen. Allerdings besteht dabei die Gefahr, dass Reste zurückbleiben und sich der Schädling wieder aktiviert. Sicherer ist daher ein Vorgehen, welches Experten seit jeher für alle kompromittierten Systeme dringend empfehlen: Den Mac neu aufsetzen, also macOS von Grund auf installieren, und dann ein aller Wahrscheinlichkeit nach virenfreies Time-Machine-Backup einspielen.