Mac新恶意软件Silver Sparrow

下来，恶意软件将检查文件~/Library/._insu。从Malwarebytes数据来看，这似乎是一个零字节的文件，并且恶意软件只是将其用作标记来指示应删除自身。在本例中，脚本执行了这一操作，然后退出。

最后，它将尝试确定是否存在较新版本的恶意软件(如果尚未安装最终的有效负载，情况将总是如此)，如果是，它将从来自命令和控制服务器的数据downloadUrl参数提供的URL下载有效payload。

但是，从数据中可以看出，在分析时，下载URL为空白。尽管我们知道脚本会将有效payload存储在/ tmp / verx上，但我们尚未在任何受感染的计算机上看到此有效payload的任何实例。

如果实际下载了有效payload，它将以args数据作为参数启动。

.pkg文件与JavaScript删除的文件不同，它还将应用程序安装到Applications文件夹中。根据.pkg文件的版本，此应用程序的名称为“tasker”或“updater”。这两个应用程序似乎都是非常简单的占位符应用程序，它们没有其他有趣的地方。

在野的Silver Sparrow

Malwarebytes的研究人员与红金丝雀的研究人员在他们的发现上进行了合作，并在这一点上收集了有关感染的重要数据。在撰写本文时，我们已经看到39,080台具有Malwarebytes检测到的Silver Sparrow组件的特殊计算机。

这些检测主要集中在美国，超过25,000台特殊计算机被检测到带有Silver Sparrow。当然，这也是因为Malwarebytes在美国有大量客户群的原因，但是通过在164个国家的检测可以发现，该恶意软件的确非常普遍。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!