Pelo menos 30.000 computadores da Apple foram infectados com um novo tipo de vírus que atinge tanto computadores com processadores da Intel, quanto com o novo processador M1, desenvolvido pela empresa.
Até agora, o “Silver Sparrow”, como o vírus foi chamado, foi detectado em mais de 150 países, com um número maior de casos nos Estados Unidos, no Canadá, no Reino Unido, na Alemanha e na França.
O vírus foi descoberto pela Red Canary, empresa de operações de segurança.
O malware usa JavaScript para execução, apresentando informações aparentemente verdadeiras, como pedidos de atualização do Adobe Flash Player.
A Red Canary diz que não conseguiu identificar possíveis danos causados pelo vírus nos computadores. A empresa considera o “Silver Sparrow” um bystander binary –códigos que não realizam nenhuma ação.
Mas isso não significa que o vírus seja inofensivo, uma vez que esses códigos podem ser substituídos por outros que sejam maliciosos.
De acordo com os pesquisadores, o vírus só é instalado no computador se o usuário fizer o download do instalador malicioso e o executar.
Eles detectaram duas versões do malware, que exibem mensagens distintas ao serem instaladas. A versão para chips Intel mostra a frase “Hello, World!” (“Olá, Mundo!”). Já a versão para Apple M1 exibe a mensagem “You did it!” (“Você conseguiu!”).
A Red Canary divulgou alguns passos que podem ser seguidos para identificar se o computador está infectado. A ação não dirá se o malware é o “Silver Sparrow”, mas indica que o aparelho está comprometido. De acordo com a empresa, o processo permite detectar um grande número de ameaças.
Ao abrir o monitor de atividade, é possível identificar todos os programas sendo executados pelo computador. Quando se clica duas vezes em cima de algum programa, abre-se uma janela com informações adicionais desse programa: memória, estatísticas e portas e janelas abertas. É na 3ª que se encontram os detalhes das linhas de comando.
Para identificar possíveis ameaças ao computador:
- Procure por algum processo que seja executado em PlistBuddy. Verifique se contém uma linha de comando com o seguinte: LaunchAgents e RunAtLoad e true;
- Procure por um processo que esteja executando em sqlite3 e que tenha uma linha de comando que contenha LSQuarantine;
- Procure por um processo que esteja executando em curl com a linha de comando s3.amazonaws.com.
Continuar lendo
