Analyse von: Thea Patrice Tajonera   

 

Trojan.OSX.SilverSparrow (IKARUS)

 Plattform:

OSX

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Infektionsweg: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

  Technische Details

Dateigröße: 54403 bytes
Dateityp: Other
Speicherresiden: Nein
Erste Muster erhalten am: 22 Februar 2021
Schadteil: Connects to URLs/IPs, Drops files, Steals information

Übertragungsdetails

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Fügt die folgenden Ordner hinzu:

  • /Users/scbox/Library/Application Support/agent_updater

Einschleusungsroutine

Schleust die folgenden Dateien ein:

  • ~/Library/LaunchAgents/init_agent.plist -> persistence for agent.sh
  • ~/Library/Application Support/agent_updater/agent.sh -> detected as Trojan.SH.SLISP

Datendiebstahl

Folgende Daten werden gesammelt:

  • Query String:
    • sqlite3 /Users/scbox/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 select LSQuarantineDataURLString from LSQuarantineEvent where LSQuarantineDataURLString like \"%stu=3c55805%\" order by LSQuarantineTimeStamp desc

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

  • http://api.{BLOCKED}traits.com/pkl

Andere Details

It connects to the following possibly malicious URL:

  • mobiletraits.s3.{BLOCKED}aws.com
  • s3-1-w.{BLOKCED}aws.com
  • api.{BLOCKED}traits.com

Es macht Folgendes:

  • This malware is a pkg file (updater.pkg) that contains malicious pre-install scripts inside the Distribution.xml file -> detected as Trojan.XML.SLISP.A
  • The Distribution.xml file contains javascript codes to run system commands and does the routine:
    • Creates file init_agent.plist
    • Creates file agent.sh
    • Downloads version.plist
    • Run init_agent.plist
    • agent.sh downloads and runs its payload
    • Query Download Data
  • Init_agent.plist calls agent.sh every hour
  • The url that agent.sh downloads is dependent from another downloaded file from https://mobiletraits.s3.{BLOCKED}aws.com/version.json and is stored in /tmp/version.json
  • The .pkg file will also execute the bystander binaries file

  Lösungen

Mindestversion der Scan Engine: 10.000
Erste VSAPI Pattern-Datei: 16.557.00
Erste VSAPI Pattern veröffentlicht am: 23 Februar 2021
VSAPI OPR Pattern-Version: 16.557.00
VSAPI OPR Pattern veröffentlicht am: 23 Februar 2021

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Trojan.MacOS.SLISP.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Nehmen Sie an unserer Umfrage teil