Mac이 맬웨어로부터 안전하다고 생각되면 다시 생각하십시오. 맬웨어 작성자는 macOS를 비롯한 다양한 플랫폼의 취약점을 악용하는 데 능숙해졌습니다. 이는 Shlayer 멀웨어 및 Top Results 멀웨어를 포함하여 Mac을 표적으로 한 이전 멀웨어 감염에서 분명합니다.
Silver Sparrow macOS 멀웨어란 무엇입니까?
최근 Red Canary, Malwarebytes 및 VMware Carbon Black 보안 연구원은 전 세계적으로 40,000개 이상의 Mac을 감염시킨 새로운 macOS 맬웨어를 발견했습니다. 이 새로운 위협의 이름은 Silver Sparrow입니다. Malwarebytes에 따르면 맬웨어는 미국, 영국, 캐나다, 프랑스, 독일 등 153개국에 퍼졌습니다. 이 40,000개 중 몇 개가 M1 Mac인지 명확하지 않으며 분포가 정확히 무엇인지 알 수 없습니다.
연구원들은 Silver Sparrow가 감염된 장치에 상당히 심각한 위협을 제기하지만 일반적인 macOS 애드웨어에서 흔히 예상되는 악의적인 동작을 나타내지 않는다는 점에 주목했습니다. 보안 전문가는 멀웨어가 무엇을 위해 설계되었는지 전혀 모르기 때문에 멀웨어가 더 당혹스럽습니다.
그러나 연구원들은 악성 소프트웨어가 언제든지 악성 페이로드를 전달할 준비가 되어 있는 것으로 나타났습니다. 조사 시 Silver Sparrow macOS 맬웨어 변종은 감염된 장치에 악성 페이로드를 전달한 적이 없지만 영향을 받는 Mac 사용자에게 휴면 동작에도 불구하고 여전히 심각한 위험을 내포하고 있다고 경고했습니다.
연구원들은 Silver Sparrow가 추가 악성 페이로드를 전달하는 것을 관찰하지 못했지만 M1 칩 호환성, 글로벌 범위, 높은 감염률 및 운영 성숙도는 Silver Sparrow를 상당히 심각한 위협으로 만듭니다. 보안 전문가들은 또한 Mac 멀웨어가 Intel 및 Apple Silicon 프로세서와 모두 호환된다는 사실을 발견했습니다.
Silver Sparrow 악성코드의 진화에 대한 대략적인 일정은 다음과 같습니다.
- 2020년 8월 18일:멀웨어 버전 1(비M1 버전) 콜백 도메인 api.mobiletraits[.]com 생성됨
- 2020년 8월 31일:VirusTotal에 맬웨어 버전 1(비M1 버전) 제출
- 2020년 9월 2일:VirusTotal에 제출된 맬웨어 버전 2 실행 중에 발견된 version.json 파일
- 2020년 12월 5일:멀웨어 버전 2(M1 버전) 콜백 도메인 생성됨 api.specialattributes[.]com 생성됨
- 2021년 1월 22일:PKG 파일 버전 2(M1 바이너리 포함)가 VirusTotal에 제출됨
- 2021년 1월 26일:Red Canary, Silver Sparrow 멀웨어 버전 1 감지
- 2021년 2월 9일:Red Canary, Silver Sparrow 악성코드 버전 2(M1 버전) 감지
Silver Sparrow 악성코드의 기능은 무엇입니까?
보안 회사인 Red Canary는 새로운 M1 프로세서가 장착된 Mac을 대상으로 하는 새로운 악성코드를 발견했습니다. 이 악성코드의 이름은 Silver Sparrow이며 macOS Installer Javascript API를 사용하여 명령을 실행합니다. 다음은 알아야 할 사항입니다.
아무도 확실히 모릅니다. 한 번 Mac에서 Silver Sparrow는 한 시간에 한 번 서버에 연결합니다. 보안 연구원들은 대규모 공격에 대비하고 있을 수 있다고 우려하고 있습니다.
보안 회사인 Red Canary는 Silver Sparrow가 아직 악성 페이로드를 전달했지만 상당히 심각한 위협이 될 수 있다고 생각합니다.
이 악성코드는 Apple의 M1 칩에서 실행되기 때문에 유명해졌습니다. 그렇다고 해서 범죄자가 특별히 M1 Mac을 노리는 것은 아니며 M1 Mac과 Intel Mac이 모두 감염될 수 있음을 시사합니다.
알려진 바에 따르면 감염된 컴퓨터는 한 시간에 한 번씩 서버에 접속하므로 대규모 공격에 대한 일종의 대비책일 수 있습니다.
악성코드는 Mac OS Installer Javascript API를 사용하여 명령을 실행합니다.
보안 회사는 지금까지 명령이 더 이상 어떤 것으로 이어지는지 결정할 수 없었기 때문에 Silver Sparrow가 어느 정도 위협을 가하는지는 아직 알 수 없습니다. 그럼에도 불구하고 보안 회사는 멀웨어가 심각하다고 생각합니다.
Apple 측에서 회사는 Silver Sparrow 악성코드와 관련된 패키지에 서명하는 데 사용된 인증서를 취소했습니다.
Apple의 공증 서비스에도 불구하고 macOS 맬웨어 개발자는 MacBook Pro, MacBook Air, Mac Mini와 같은 최신 ARM 칩을 사용하는 제품을 포함하여 Apple 제품을 성공적으로 표적으로 삼았습니다.
Apple은 "업계 최고의" 사용자 보호 메커니즘을 갖추고 있다고 주장하지만 맬웨어 위협은 계속해서 부상하고 있습니다.
실제로 위협 행위자들은 초기에 M1 칩을 표적으로 삼아 이미 게임보다 앞서 있는 것으로 보입니다. 이는 많은 합법적인 개발자가 자신의 애플리케이션을 새 플랫폼으로 이식하지 않음에도 불구하고 발생합니다.
Silver Sparrow macOS 맬웨어는 AWS 및 Akamai CDN을 사용하여 Intel 및 ARM용 바이너리를 제공합니다.
연구원들은 "Clipping Silver Sparrow's wings:Outing macOS 멀웨어가 비행하기 전에" 블로그 게시물에서 Silver Sparrow의 작업을 설명했습니다.
새로운 악성코드는 Intel x86_64 프로세서를 대상으로 하는 Mach-object 형식과 M1 Mac용으로 설계된 Mach-O 바이너리의 두 가지 바이너리로 존재합니다.
macOS 멀웨어는 "update.pkg" 또는 "updater.pkg"라는 Apple 설치 프로그램 패키지를 통해 설치됩니다.
아카이브에는 설치 스크립트가 실행되기 전에 실행되는 JavaScript 코드가 포함되어 있어 사용자에게 "소프트웨어를 설치할 수 있는지 확인" 프로그램을 허용하라는 메시지를 표시합니다.
사용자가 수락하면 JavaScript 코드는 verx.sh라는 스크립트를 설치합니다. Malwarebytes에 따르면 시스템이 이미 감염되었기 때문에 이 시점에서 설치 프로세스를 중단하는 것은 무의미합니다.
스크립트가 설치되면 매시간 명령 및 제어 서버에 접속하여 실행할 명령이나 바이너리를 확인합니다.
명령 및 제어 센터는 Amazon Web Services(AWS) 및 Akamai CDN(콘텐츠 전송 네트워크) 인프라에서 실행됩니다. 연구원들은 클라우드 인프라를 사용하면 바이러스를 차단하기가 더 어려워진다고 말했습니다.
놀랍게도 연구원들은 최종 페이로드의 배포를 감지하지 못하여 멀웨어의 궁극적인 목표를 미스터리로 만들었습니다.
그들은 아마도 맬웨어가 특정 조건이 충족되기를 기다리고 있었을 것이라고 지적했습니다. 마찬가지로 보안 연구원이 모니터링하는 것을 감지할 수 있으므로 악성 페이로드 배포를 방지할 수 있습니다.
실행되면 Intel x86_64 바이너리는 "Hello World"를 인쇄하고 Mach-O 바이너리는 "You did it!"을 표시합니다.
연구원들은 악의적인 행동을 나타내지 않았기 때문에 이들을 "방관자 바이너리"라고 명명했습니다. 또한 macOS 맬웨어에는 은폐 기능이 추가되어 스스로 제거하는 메커니즘이 있습니다.
그러나 그들은 자체 제거 기능이 감염된 장치에서 사용된 적이 없다고 언급했습니다. 악성코드는 설치 후 다운로드한 소스 URL도 검색합니다. 그들은 멀웨어 개발자가 가장 효과적인 배포 채널을 추적하기를 원한다고 주장했습니다.
연구원들은 멀웨어가 어떻게 전달되었는지 알아낼 수 없었지만 가능한 배포 채널에는 가짜 플래시 업데이트, 불법 복제 소프트웨어, 악성 광고 또는 합법적인 앱이 포함됩니다.
사이버 범죄자는 공격 규칙을 정의하며 이러한 전술이 완전히 명확하지 않은 경우에도 그들의 전술을 방어하는 것은 우리의 몫입니다. macOS를 표적으로 하는 새로 식별된 악성코드인 Silver Sparrow가 바로 그런 상황입니다. 현재로서는 그다지 많은 일을 하지 않는 것 같지만, 우리가 방어해야 하는 전술에 대한 통찰력을 제공할 수 있습니다.
Silver Sparrow 악성코드의 기술 사양
연구원의 조사에 따르면 Silver Sparrow 악성코드에는 "버전 1"과 "버전 2"라는 두 가지 버전이 있습니다.
맬웨어 버전 1
- 파일 이름:updater.pkg(v1용 설치 프로그램 패키지)
- MD5:30c9bc7d40454e501c358f77449071aa
맬웨어 버전 2
- 파일 이름:update.pkg(v2용 설치 프로그램 패키지)
- MD5:fdd6fb2b1dfe07b0e57d4cbfef9c8149
다운로드 URL과 스크립트 주석의 변경을 제외하고 두 멀웨어 버전에는 한 가지 주요 차이점만 있었습니다. 첫 번째 버전에는 Intel x86_64 아키텍처용으로만 컴파일된 Mach-O 바이너리가 포함되어 있는 반면 두 번째 버전에는 Intel x86_64 및 M1 ARM64 아키텍처용으로 컴파일된 Mach-O 바이너리가 포함되어 있습니다. 이는 M1 ARM64 아키텍처가 새롭고 새로운 플랫폼에 대해 발견된 위협이 거의 없기 때문에 중요합니다.
Mach-O 컴파일 바이너리는 아무 것도 하지 않는 것 같기 때문에 "방관자 바이너리"라고 합니다.
실버 스패로우는 어떻게 배포됩니까?
보고서에 따르면 많은 macOS 위협이 악성 광고를 통해 PKG 또는 DMG 형식의 자체 포함된 단일 설치 프로그램으로 배포되어 Adobe Flash Player와 같은 합법적인 응용 프로그램 또는 업데이트로 가장합니다. 그러나 이 경우 공격자는 맬웨어를 두 개의 개별 패키지인 updater.pkg 및 update.pkg로 배포했습니다. 두 버전 모두 동일한 기술을 사용하여 실행되며, 단지 방관자 바이너리의 컴파일만 다릅니다.
Silver Sparrow의 한 가지 독특한 점은 설치 프로그램 패키지가 macOS Installer JavaScript API를 활용하여 의심스러운 명령을 실행한다는 것입니다. 일부 합법적인 소프트웨어도 이 작업을 수행하고 있지만 맬웨어가 이러한 작업을 수행하는 것은 이번이 처음입니다. 이는 일반적으로 사전 설치 또는 사후 설치 스크립트를 사용하여 명령을 실행하는 악성 macOS 설치 프로그램에서 일반적으로 관찰되는 동작과 다릅니다. 사전 설치 및 사후 설치의 경우 설치는 다음과 같은 특정 원격 측정 패턴을 생성합니다.
- 상위 프로세스:package_script_service
- 프로세스:bash, zsh, sh, Python 또는 다른 인터프리터
- 명령줄:사전 설치 또는 사후 설치 포함
이 원격 측정 패턴은 합법적인 소프트웨어도 스크립트를 사용하기 때문에 그 자체로 악성의 정확도가 높은 지표는 아니지만 일반적으로 사전 설치 및 사후 설치 스크립트를 사용하여 설치 프로그램을 안정적으로 식별합니다. Silver Sparrow는 패키지 파일의 배포 정의 XML 파일에 JavaScript 명령을 포함하여 악성 macOS 설치 프로그램에서 볼 것으로 예상되는 것과 다릅니다. 이렇게 하면 다른 원격 측정 패턴이 생성됩니다.
- 상위 프로세스:설치 프로그램
- 프로세스:bash
사전 설치 및 사후 설치 스크립트와 마찬가지로 이 원격 측정 패턴은 자체적으로 악성 동작을 식별하기에 충분하지 않습니다. 사전 설치 및 사후 설치 스크립트에는 실제로 실행되는 항목에 대한 단서를 제공하는 명령줄 인수가 포함되어 있습니다. 반면에 악성 JavaScript 명령은 합법적인 macOS Installer 프로세스를 사용하여 실행되며 설치 패키지의 내용이나 해당 패키지가 JavaScript 명령을 사용하는 방식에 대한 가시성을 거의 제공하지 않습니다.
맬웨어가 update.pkg 또는 updater.pkg라는 Apple 설치 프로그램 패키지(.pkg 파일)를 통해 설치되었음을 알고 있습니다. 그러나 이러한 파일이 사용자에게 어떻게 전달되었는지 알 수 없습니다.
이러한 .pkg 파일에는 JavaScript 코드가 포함되어 있어 설치가 실제로 시작되기 전 맨 처음에 코드가 실행됩니다. 그런 다음 사용자는 "소프트웨어를 설치할 수 있는지 확인하기 위해" 프로그램 실행을 허용할지 묻는 메시지가 표시됩니다.
Silver Sparrow의 설치 프로그램이 사용자에게 다음과 같이 알려줍니다.
"이 패키지는 소프트웨어를 설치할 수 있는지 확인하는 프로그램을 실행합니다."
즉, 계속을 클릭했지만 더 나은 생각을 하고 설치 프로그램을 종료하면 너무 늦습니다. 당신은 이미 감염되었을 것입니다.
악성 활동의 또 다른 징후는 Mac에서 LaunchAgent를 생성하는 PlistBuddy 프로세스였습니다.
LaunchAgent는 macOS 초기화 시스템인 launchd에 주기적으로 또는 자동으로 작업을 실행하도록 지시하는 방법을 제공합니다. 엔드포인트의 모든 사용자가 작성할 수 있지만 일반적으로 작성하는 사용자로도 실행됩니다.
macOS에서 속성 목록(plist)을 생성하는 방법에는 여러 가지가 있으며, 때때로 해커는 요구 사항을 달성하기 위해 다른 방법을 사용합니다. 이러한 방법 중 하나는 LaunchAgents를 포함하여 엔드포인트에서 다양한 속성 목록을 생성할 수 있는 기본 제공 도구인 PlistBuddy를 사용하는 것입니다. 때때로 해커는 지속성을 설정하기 위해 PlistBuddy를 사용하며, 그렇게 하면 쓰기 전에 파일의 모든 속성이 명령줄에 표시되기 때문에 방어자가 EDR을 사용하여 LaunchAgent의 내용을 쉽게 검사할 수 있습니다.
Silver Sparrow의 경우 plist의 내용을 작성하는 명령은 다음과 같습니다.
- PlistBuddy -c “:Label 문자열 init_verx 추가” ~/Library/Launchagents/init_verx.plist
- PlistBuddy -c "추가:RunAtLoad bool true" ~/Library/Launchagents/init_verx.plist
- PlistBuddy -c "추가:StartInterval 정수 3600" ~/Library/Launchagents/init_verx.plist
- PlistBuddy -c ":ProgramArguments 배열 추가" ~/Library/Launchagents/init_verx.plist
- PlistBuddy -c "추가 :ProgramArguments:0 문자열 '/bin/sh'" ~/Library/Launchagents/init_verx.plist
- PlistBuddy -c "추가 :ProgramArguments:1 string -c" ~/Library/Launchagents/init_verx.plist
LaunchAgent Plist XML은 다음과 유사합니다.
레이블
init_verx
RunAtLoad
사실
시작 간격
3600
프로그램 인수
'/bin/sh'
-c
“~/Library/Application\\ Support/verx_updater/verx.sh” [타임스탬프] [다운로드된 plist의 데이터]
Silver Sparrow에는 디스크에 ~/Library/._insu가 있는지 확인하여 모든 지속성 메커니즘과 스크립트를 제거하는 파일 검사도 포함되어 있습니다. 파일이 있는 경우 Silver Sparrow는 끝점에서 해당 구성 요소를 모두 제거합니다. Malwarebytes(d41d8cd98f00b204e9800998ecf8427e)에서 보고된 해시는 ._insu 파일이 비어 있음을 나타냅니다.
if [ -f ~/Library/._insu ]
그 다음에
rm ~/Library/Launchagents/verx.plist
rm ~/Library/Launchagents/init_verx.plist
rm /tmp/version.json
rm /tmp/version.plist
rm /tmp/verx
rm -r ~/Library/Application\\ 지원/verx_updater
rm /tmp/agent.sh
launchctl init_verx 제거
설치가 끝나면 Silver Sparrow는 두 개의 검색 명령을 실행하여 설치가 발생했음을 나타내는 curl HTTP POST 요청에 대한 데이터를 구성합니다. 하나는 보고를 위해 시스템 UUID를 검색하고 두 번째는 원본 패키지 파일을 다운로드하는 데 사용된 URL을 찾습니다.
멀웨어는 sqlite3 쿼리를 실행하여 다운로드한 PKG의 원본 URL을 찾아 사이버 범죄자에게 성공적인 배포 채널에 대한 아이디어를 제공합니다. 우리는 일반적으로 macOS의 악성 애드웨어에서 이러한 종류의 활동을 봅니다. sqlite3 sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV* 'select LSQuarantineDataURLString from LSQuarantineEvent where LSQuarantineDataURLString like "[redacted]" order by LSQuarantineTime'
Mac에서 Silver Sparrow 악성 코드를 제거하는 방법
Apple은 Silver Sparrow 맬웨어를 설치할 수 있도록 하는 개발자 인증서를 재정의하는 조치를 신속하게 취했습니다. 따라서 더 이상 설치할 수 없습니다.
Mac App Store 외부에서 다운로드한 모든 소프트웨어는 공증을 받아야 하기 때문에 Apple 고객은 일반적으로 맬웨어로부터 보호됩니다. 이 경우 악성코드 작성자가 패키지 서명에 사용된 인증서를 얻을 수 있었던 것으로 보입니다.
이 인증서가 없으면 멀웨어가 더 이상 컴퓨터를 감염시킬 수 없습니다.
Silver Sparrow를 탐지하는 또 다른 방법은 Silver Sparrow 감염 또는 다른 문제를 다루고 있는지 여부를 확인하기 위해 지표의 존재를 검색하는 것입니다.
- PlistBuddy가 LaunchAgents 및 RunAtLoad 및 true를 포함하는 명령줄과 함께 실행되는 것으로 보이는 프로세스를 찾습니다. 이 분석은 LaunchAgent 지속성을 설정하는 여러 macOS 맬웨어 패밀리를 찾는 데 도움이 됩니다.
- 다음을 포함하는 명령줄과 함께 실행되는 sqlite3으로 보이는 프로세스를 찾습니다. LSQuarantine. 이 분석은 다운로드한 파일의 메타데이터를 조작하거나 검색하는 여러 macOS 맬웨어 패밀리를 찾는 데 도움이 됩니다.
- s3.amazonaws.com이 포함된 명령줄과 함께 curl을 실행하는 것으로 보이는 프로세스를 찾습니다. 이 분석은 배포를 위해 S3 버킷을 사용하는 여러 macOS 맬웨어 패밀리를 찾는 데 도움이 됩니다.
이러한 파일이 있으면 기기가 Silver Sparrow 버전 1 또는 버전 2로 손상되었음을 나타냅니다.
- ~/Library/._insu(맬웨어가 스스로 삭제하도록 신호를 보내는 데 사용되는 빈 파일)
- /tmp/agent.sh(설치 콜백을 위해 실행된 셸 스크립트)
- /tmp/version.json(실행 흐름을 결정하기 위해 S3에서 다운로드한 파일)
- /tmp/version.plist (version.json을 속성 목록으로 변환)
맬웨어 버전 1:
- 파일 이름:updater.pkg(v1용 설치 프로그램 패키지) 또는 업데이트 프로그램(v1 패키지의 방관자 Mach-O Intel 바이너리)
- MD5:30c9bc7d40454e501c358f77449071aa 또는 c668003c9c5b1689ba47a431512b03cc
- s3.amazonaws[.]com(v1용 version.json을 보유하는 S3 버킷)
- ~/Library/Application Support/agent_updater/agent.sh (매시간 실행되는 v1 스크립트)
- /tmp/agent(배포된 경우 최종 v1 페이로드가 포함된 파일)
- ~/Library/Launchagents/agent.plist(v1 지속성 메커니즘)
- ~/Library/Launchagents/init_agent.plist(v1 지속성 메커니즘)
- 개발자 ID Saotia Seay(5834W6MYX3) – Apple에서 v1 방관자 바이너리 서명을 취소했습니다.
맬웨어 버전 2:
- 파일 이름:update.pkg(v2용 설치 프로그램 패키지) 또는 tasker.app/Contents/MacOS/tasker(v2의 Mach-O Intel 및 M1 바이너리 바이스탠더)
- MD5:fdd6fb2b1dfe07b0e57d4cbfef9c8149 또는 b370191228fef82635e39a137be470af
- s3.amazonaws[.]com(v2용 version.json을 보유하는 S3 버킷)
- ~/Library/Application Support/verx_updater/verx.sh (매시간 실행되는 v2 스크립트)
- /tmp/verx(배포된 경우 최종 v2 페이로드가 포함된 파일)
- ~/Library/Launchagents/verx.plist(v2 지속성 메커니즘)
- ~/Library/Launchagents/init_verx.plist(v2 지속성 메커니즘)
- 개발자 ID Julie Willey(MSZ3ZH74RK) – Apple에서 v2 방관자 바이너리 서명을 취소했습니다.
Silver Sparrow 악성코드를 삭제하려면 다음 단계를 따르세요.
1. 맬웨어 방지 소프트웨어를 사용하여 스캔합니다.
컴퓨터의 맬웨어에 대한 최선의 방어는 항상 Outbyte AVarmor와 같은 신뢰할 수 있는 맬웨어 방지 소프트웨어입니다. 그 이유는 간단합니다. 맬웨어 방지 소프트웨어가 컴퓨터 전체를 스캔하고 아무리 잘 숨겨져 있어도 의심스러운 프로그램을 찾아 제거합니다. 맬웨어를 수동으로 제거하면 효과가 있을 수 있지만 항상 놓칠 수 있는 가능성이 있습니다. 좋은 맬웨어 방지 프로그램은 그렇지 않습니다.
2. Silver Sparrow 프로그램, 파일 및 폴더를 삭제합니다.
Mac에서 Silver Sparrow 맬웨어를 삭제하려면 먼저 활동 모니터로 이동하여 의심스러운 프로세스를 제거하십시오. 그렇지 않으면 삭제하려고 할 때 오류 메시지가 표시됩니다. 활동 모니터로 이동하려면 다음 단계를 따르세요.
- Finder를 엽니다.
- 응용 프로그램> 유틸리티> 활동 모니터로 이동합니다.
- 활동 모니터에서 실행 중인 프로세스를 찾습니다. 그들 중 하나라도 의심스럽거나 생소해 보이면 중단하십시오. 프로세스를 더 자세히 살펴보려면 마우스로 해당 프로세스를 강조 표시하고 마우스 오른쪽 버튼을 클릭하여 파일 위치를 확인할 수 있습니다.
의심스러운 프로그램을 삭제한 후에는 맬웨어 관련 파일 및 폴더도 삭제해야 합니다. 취해야 할 단계는 다음과 같습니다.
- Finder의 폴더로 이동 옵션을 사용하여 /Library/LaunchAgents 폴더로 이동합니다. 이 폴더 내에서 Silver Sparrow와 관련된 의심스러운 파일을 찾으십시오. 이러한 성격의 파일의 예로는 "myppes.download.plist", "mykotlerino.ltvbit.plist" 및 "installmac.AppRemoval.plist"가 있습니다. 식별에 도움이 되도록 공통 문자열이 있는 파일을 찾으십시오.
- Finder를 사용하여 /Library/Application Support 폴더로 이동합니다. 여기에서 의심스러운 파일, 특히 애플리케이션 앱을 사용하여 삭제한 애플리케이션과 관련된 파일을 찾으십시오. 이것들을 제거하면 Silver Sparrow가 앞으로 다시 등장하는 것을 막을 수 있습니다.
- /Library/LaunchDaemons 폴더로 이동하여 의심스러운 파일을 찾습니다. Silver Sparrow 악성코드와 관련된 의심스러운 파일의 예로는 "com.myppes.net-preferences.plist", "com.kuklorest.net-preferences.plist", "com.aoudad.net-preferences.plist" 및 " com.avickUpd.plist”. 이 파일을 휴지통으로 이동하세요.
3. 해당하는 경우 Silver Sparrow 브라우저 확장 프로그램을 제거합니다.
컴퓨터의 하드 드라이브에서 맬웨어를 수동으로 삭제한 후 Top Results 브라우저 확장 프로그램도 제거해야 합니다. 사용 중인 브라우저에서 설정> 확장으로 이동하여 익숙하지 않은 확장을 제거하십시오. 또는 브라우저를 기본값으로 재설정할 수도 있습니다. 이렇게 하면 확장 프로그램도 제거됩니다.
요약
Silver Sparrow 악성코드는 오랜 시간이 지나도 추가 페이로드를 다운로드하지 않기 때문에 미스터리로 남아 있습니다. 이것은 우리가 멀웨어가 무엇을 하도록 설계되었는지 알 수 없다는 것을 의미하며, Mac 사용자와 보안 전문가는 그것이 무엇을 의미하는지 어리둥절하게 만듭니다. 악의적인 활동이 없음에도 불구하고 맬웨어 자체의 존재는 감염된 장치에 위협이 됩니다. 따라서 즉시 삭제하고 모든 흔적을 삭제해야 합니다.