Analisado por: Thea Patrice Tajonera   

 

Trojan.OSX.SilverSparrow (IKARUS)

 Plataforma:

OSX

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Descargado de Internet, Eliminado por otro tipo de malware

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

  Detalhes técnicos

Tipo de compactação: 54403 bytes
Tipo de arquivo: Other
Residente na memória: Não
Data de recebimento das amostras iniciais: 22 de febrero de 2021
Carga útil: Connects to URLs/IPs, Drops files, Steals information

Detalles de entrada

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Agrega las carpetas siguientes:

  • /Users/scbox/Library/Application Support/agent_updater

Rutina de infiltración

Infiltra los archivos siguientes:

  • ~/Library/LaunchAgents/init_agent.plist -> persistence for agent.sh
  • ~/Library/Application Support/agent_updater/agent.sh -> detected as Trojan.SH.SLISP

Robo de información

Recopila los siguientes datos:

  • Query String:
    • sqlite3 /Users/scbox/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 select LSQuarantineDataURLString from LSQuarantineEvent where LSQuarantineDataURLString like \"%stu=3c55805%\" order by LSQuarantineTimeStamp desc

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

  • http://api.{BLOCKED}traits.com/pkl

Otros detalles

It connects to the following possibly malicious URL:

  • mobiletraits.s3.{BLOCKED}aws.com
  • s3-1-w.{BLOKCED}aws.com
  • api.{BLOCKED}traits.com

Hace lo siguiente:

  • This malware is a pkg file (updater.pkg) that contains malicious pre-install scripts inside the Distribution.xml file -> detected as Trojan.XML.SLISP.A
  • The Distribution.xml file contains javascript codes to run system commands and does the routine:
    • Creates file init_agent.plist
    • Creates file agent.sh
    • Downloads version.plist
    • Run init_agent.plist
    • agent.sh downloads and runs its payload
    • Query Download Data
  • Init_agent.plist calls agent.sh every hour
  • The url that agent.sh downloads is dependent from another downloaded file from https://mobiletraits.s3.{BLOCKED}aws.com/version.json and is stored in /tmp/version.json
  • The .pkg file will also execute the bystander binaries file

  Solução

Mecanismo de varredura mínima: 10.000
Primeiro arquivo padrão VSAPI: 16.557.00
Data do lançamento do primeiro padrão VSAPI: 23 de febrero de 2021
VSAPI OPR Pattern Version: 16.557.00
VSAPI OPR Pattern veröffentlicht am: 23 de febrero de 2021

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como Trojan.MacOS.SLISP.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Participe da nossa pesquisa!