Arriva una segnalazione di un adware in crescita per macOS. Si tratta di Silver Sparrow scoperto dagli ingegneri Wes Hurd e Jason Killam di Red Canary. Un Adware è praticamente una sorta di malware che si installa nel computer per visualizzare popup di pubblicità invadente durante la navigazione di qualsiasi pagina web.

Si tratta di un adware molto particolare per due motivi: 1) colpisce anche i Mac muniti di SoC M1; 2) utilizza dei JavaScript per infettare il computer e cancellare le sue tracce.

Il programma malevolo si diffonde mediante un file chiamato updater.pkg presente in due versioni: la prima per processori Intel e la seconda per quelli con SoC M1 di Apple. Per convincere l’utente a essere installato si spaccia per un aggiornamento di un’app. Ovviamente app pirata. Quindi si scarica da siti poco affidabili spacciandosi per del software craccato.

Una volta attivata l’installazione, per evitare di essere rilevato, non usa i classici script di installazione ma le API di JavaScript. Queste lanciano un file XML che attiva 3 funzioni JavaScript. Un processo chiamato PlistBuddy attiva un LaunchAgent che istruisce launchd per creare i file e distribuirli nelle cartelle.

Al termine controlla la presenza di ~/Library/._insu e inizia a fare pulizia cancellando le sue tracce. Alla fine della fiera l’adware è installato e invia un file al server degli hacker contenente solo due informazioni: un codice UUID e il link del sito dove è stato scaricato il file. Quest’ultimo serve agli hacker per validare la fonte.

Al momento pare siano stati infettati oltre 29.000 Mac. Nell’attesa che Apple se ne occupi, il consiglio è di non installare app da siti non sicuri. Questo è uno dei motivi per il quale è sempre meglio passare dall’App Store.

Update 22/02/21: in tempi record Apple ha reso innocuo Silver Sparrow rendendo impossibile l’installazione.

Leave a comment

Cosa ne pensi?