Apple agit contre Silver Sparrow, un malware installé sur au moins 30 000 Mac 🆕

Nicolas Furno |

Un porte-parole d'Apple a déclaré à AppleInsider que le certificat du compte développeur de ce logiciel avait été révoqué, ce qui empêchera sa diffusion sur davantage de machines ainsi que son exécution.


Article original

Un malware a été détecté courant février sur près de 30 000 Mac dans 135 pays par les chercheurs en sécurité de Red Canary. Ce nouveau venu surnommé Silver Sparrow est programmé pour appeler un serveur distant une fois par heure en quête de nouvelles commandes à appliquer sur le système. À ce jour, il n’a rien effectué, mais son ampleur et ce mécanisme de mise à jour distante le rend particulièrement inquiétant, puisque l’on ne connaît pas son objectif final.

Photo de base : Heye Jensen.

Ses créateurs ont pensé à tout pour maximiser leurs chances. L’appel à un serveur distant repose sur AWS, l’offre d’hébergement dans le cloud d’Amazon, et sur Akamai, l’un des plus gros réseau de distribution sur internet qui est utilisé, entre autres, par Apple. Cela rend son blocage difficile, car il faudrait bloquer entièrement ces deux acteurs. Par ailleurs, Silver Sparrow intègre un mécanisme qui lui permet d’effacer toutes traces de son existence, une sophistication rare dans le monde des malwares.

Pour finir, Silver Sparrow est un malware récent, il a été découvert dans sa première forme en août 2020, mais il a été mis à jour depuis, notamment pour les Mac Apple Silicon. En fonction de l’ordinateur, l’installateur est capable de s’adapter et d’installer des paquets spécifiques à chaque plateforme. Cela en fait le deuxième logiciel malveillant optimisé pour la nouvelle architecture d’Apple :

Sa complexité et le mystère de son rôle réel font que cette menace est qualifiée de menace sérieuse. Il n’existe pas d’outil clé en mains pour détecter sa présence, mais les chercheurs en sécurité listent les fichiers concernés à la fin de leur article. Si vous voulez tester votre Mac, je vous recommande d’utiliser l’app Terminal et de saisir cette commande :

ls /tmp/agent.sh
La ligne de commande signale que ce fichier n’existe pas sur mon Mac, le malware n’y a pas été installé.

Si le résultat affiché contient « No such file or directory », vous devriez être tranquille. Si ce n’est pas votre cas, votre Mac est peut-être infecté, il faudra alors supprimer tous les fichiers listés à la fin de l’article. Vous pouvez le faire avec le terminal avec la commande rm, mais attention à ne pas supprimer des fichiers importants par erreur.

Pour information, le fichier de base qui installe le malware se nomme updater.pkg ou update.pkg selon les cas. Si vous le voyez sur votre Mac, par exemple dans votre dossier des téléchargements, ne l’ouvrez surtout pas et supprimez-le sans attendre. Le fichier d’installation d’app légitime portera le nom de l’application, pas un terme générique comme ici.


avatar DerFrancois | 

Si Apple peut révoquer le compte du développeur, pourquoi n'a t-il pas d'action contre celui-ci. Car s'il y a pas de conséquence autre que la révocation du compte, je ne vois pas ce qui l'empêcherait de recommencer et de décourager les autres de faire de même.

avatar marenostrum | 

parce que Apple ce n'est pas une police, et l'app ne tue personne en plus. on sait pas son but, l'article le dit. juste il relie l'ordinateur où est installé avec un serveur distant à l'intervalle régulier, sans rien faire de plus. mais l'ordi est relié avec une centaine de ce genre de serveurs chaque instant.

en plus ce genre d'app peut être fait par Apple, juste pour pousser son plan sécuritaire à l'extreme. faire peur pour justifier une plus grande fermeture de macOS. etc. on sait pas qui est vraiment derrière et quel est le but.

avatar Boboss29 | 

Rien sur mon mac principal.

avatar r e m y | 

"...le certificat du compte développeur de ce logiciel avait été révoqué, ce qui empêchera sa diffusion sur davantage de machines ainsi que son exécution."

J'espère qu'ils ont pris des mesures un peu plus sérieuses! 😳

Vu le niveau de ceux qui ont développé ce malware, c'est pas la révocation de leur compte développeur qui va les arrêter! Ils auront d'autres comptes developpeurs dans la journée suivant la révocation pour republier d'autres versions. (Sans compter que même avec le notaire de macOS, on peut diffuser des apps auto-signées sans avoir obligatoirement un compte développeur valide.)

avatar mood8moody | 

Vous êtes marrant avec vos “faut juste pas cliquer sur le virus” ou installer malwarebytes. Vous avez 15 ans de retard. Les pirates se servent de failles logiciels et même matériels jusqu’au niveau des processeurs voir les derniers scandales avec intel où ils sont obligés de brider leurs puces, désactiver l hyper-threading ou ne peuvent tout simplement rien faire pour les corriger. Et ca ce n’est que la partie émergée de l’iceberg. Alors certe il reste des virus à papi mais des portes d’entrées il y en a de tous les côté sans cliquer quoi que ce soit, iphone, mac ou windows et linux même combat.

Pages

CONNEXION UTILISATEUR