Silver Sparrow: Infizierte Macs erkennen, Malware entfernen

Eine "Silver Sparrow" getaufte Mac-Malware gibt Sicherheitsforschern weiter Rätsel auf: Wie die als gängiges Installationspaket (.pkg) ausgelieferte Software verteilt wird, ist nach wie vor unbekannt, erläuterte der Antivirenhersteller Malwarebytes, der an der Analyse des Schädlings beteiligt ist. Klar ist, dass der Nutzer die Installation selbst vornehmen muss und das Installationspaket mit einem Entwicklerzertifikat signiert war, damit das Betriebssystem bei der Installation keine Warnmeldung anzeigt.

Apple hat das dafür verwendete Entwicklerzertifikat inzwischen zurückgezogen, eine neue Installation ist somit nicht mehr möglich – solange Silver Sparrow nicht mit einem anderen Entwicklerzertifikat frisch signiert weiter ausgeliefert wird, wie es beispielsweise bei Mac-Adware immer wieder der Fall ist.

Silver Sparrow kommt schon vor Installation auf den Mac

Die Installationspakete tragen den Namen "update.pkg" und "updater.pkg". Das Installationsprogramm von macOS fragt den Nutzer erst, ob das Paket eine Kompatibilitätsprüfung durchführen kann – eine gängige Nachfrage bei Mac-Installern. Wer hier zustimmt, hat sich die Malware schon eingefangen, auch wenn die anschließende Installation nicht durchgeführt wird, warnt Malwarebytes. Die Malware nutzt nämlich die Installer-JavaScript-Schnittstelle, um schon vor der eigentlichen Installationsroutine Shell-Skripte auszuführen und sich als LaunchAgent auf dem System einzunisten.

Laut Sicherheitsforschern gibt es mehrere "Indikatoren für eine Kompromittierung" des Macs durch Silver Sparrow. Nutzer können prüfen, ob sie eine der folgenden Dateien auf ihrem Mac finden:

/tmp/agent.sh

/tmp/version.json

/tmp/version.plist

~/Library/._insu

Am einfachsten ist das über den Befehl "Gehe zum Ordner..." des Finders: Drücken Sie gleichzeitig cmd + Umschalttaste + G und geben sie /tmp ein, um das Verzeichnis für temporäre Dateien zu öffnen und dort nachzusehen, ob eine der drei genannten Dateien vorhanden ist. Geben Sie ~/Library ein, um die Benutzerbibliothek zu öffnen. Drücken Sie dann cmd + Umschalttaste + . um auch versteckte Dateien einzublenden. Sollte darunter ._insu auftauchen, waren Sie wohl infiziert.

Wurde die Installation von update.pkg respektive updater.pkg komplett durchgeführt, können Nutzer außerdem prüfen, ob sie "updater.app" oder "tasker.app" in ihrem Programme-Ordner finden.

Malware hinterlässt Spuren

Das AV-Tool Malwarebytes hat Silver Sparrow nach Angabe des Herstellers inzwischen auf fast 40.000 Macs gefunden. Meist sei nur noch ~/Library/._insu aufzuspüren. Diese Datei signalisiere, dass sich die Malware selbst löschen sollte und sei ein "starkes Anzeichen" für eine vorausgehende Infektion. Wie die Datei erstellt wird, bleibe aber unklar. Das gilt auch für Ziel und Zweck der Malware, eine Payload – die eigentliche Schadroutine – wurde bislang nicht gesichtet.

Malwarebytes erkennt und entfernt "OSX.SilverSparrow" von Macs. Die AV-Software lässt sich kostenlos manuell verwenden und im Anschluss wieder über das Hilfe-Menü deinstallieren. Um Infektion mit als .pkg-Dateien ausgelieferter Malware zu vermeiden, können Nutzer mit dem altgedienten Tool Suspicious Package einen Blick in die Installationspakete werfen, bevor sie sie ausführen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Preisvergleiche immer laden Preisvergleich jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(lbe)