Rechercher et supprimer le nouveau malware Silver Sparrow sur macOS

Non, Silver Sparrow n’est pas un personnage de la série Game of Thrones. Il s’agit plutôt d’un nouveau malware macOS qui peut s’installer à la fois sur les Mac embarquant un processeur Intel et ceux équipés de puce M1. Heureusement, les chercheurs l’ont découvert avant qu’il n’ait une chance d’endommager tout système.

Un malware mystérieux

Déjà, les intentions de ce malware restent un mystère total. Par ailleurs, les chercheurs n’ont aucun moyen de savoir avec certitude quelle charge utile serait distribuée par ce virus. Ils ne savent pas non plus si une charge utile a déjà été livrée et supprimée ni s’il prévoit ultérieurement une distribution. Selon Malwarebytes, près de 30 000 Mac ont déjà été infestés par ce virus.

Les détails techniques de Silver Sparrow sont disponibles sur le blog Red Canary. En cas de suspicion d’infestation par le malware, commencez par faire une rétrospective de vos dernières actions. Un site web vous a-t-il invité à télécharger un progiciel et/ou une mise à jour ? Était-ce quelque chose que vous n’aviez pas l’intention de télécharger ou d’installer jusqu’à ce qu’un site web vous le suggère ? Ledit fichier de package a-t-il été nommé update.pkg ou updater.pkg ? Auxquels cas, le soupçon est justifié.

Un malware difficile à détecter

Il n’existe aucun moyen observable de détecter le logiciel malveillant sur votre système en cas d’infestation. En effet, Silver Sparrow reste à ce jour totalement inactif.  Néanmoins, il est possible de  rechercher les fichiers que le logiciel malveillant dépose sur votre système. Le blog Red Canary note quatre fichiers suggérant que votre système est peut-être infesté :

  • ~ / Library /._ insu (fichier vide utilisé pour signaler au malware de se supprimer)
  • /tmp/agent.sh (script shell exécuté pour le rappel d’installation)
  • /tmp/version.json (fichier téléchargé depuis S3 pour déterminer le flux d’exécution)
  • /tmp/version.plist (version.json converti en liste de propriétés)

Il est possible d’empêcher son installation grâce aux actions d’Apple (révocation du certificat de développeur associé au virus). Mais il n’y a pour l’heure aucune solution pour les ordinateurs déjà infestés.

Pin It on Pinterest