UpdateAgent البرامج الضارة

UpdateAgent هو تهديد طروادة يستهدف أجهزة Mac. ظهر هذا البرنامج المهدِّد لأول مرة في سبتمبر 2020 ويمتلك قدرات صانع معلومات بسيط نسبيًا. ومع ذلك ، منذ ذلك الحين ، قام مجرمو الإنترنت الذين يقفون وراء هذا التهديد بتطويرهباستمرار ، من خلال إضافة المزيد والمزيد من إمكانيات البرامج الضارة المتقدمة. تحولت أحدث متغيرات UpdateAgent إلى أحصنة طروادة المتطورة بسلوك أكثر تركيزًا وصقلًا.

تم الكشف عن تفاصيل حول تهديد UpdateAgent للجمهور في تقرير صادر عن فريق Microsoft 365 Defender Intelligence Threat Intelligence Team. يتابع الخبراء تطور التهديد والحملات الضارة المتعددة التي كان جزءًا منها. وفقًا للنتائج التي توصلوا إليها ، لا يزال UpdateAgent قيد التطوير النشط وقد يستمر في تزويده بوظائف ضارة إضافية.

التوزيع والقدرات

من المرجح أن يتم نشر UpdateAgent عبر التنزيلات عن طريق محرك الأقراص أو النوافذ المنبثقة للإعلانات المضللة ، والتي تدعي أنها لمنتجات برامج مشروعة ، مثل تطبيقات الفيديو أو وكلاء الدعم ، ولكنها في الواقع تقدم تهديد حصان طروادة. يؤدي انتحال صفة منتجات حقيقية أو تجميعها جنبًا إلى جنب مع البرامج الشرعية إلى زيادة فرص قيام UpddateAgent بالتسلل إلى نظام Mac الخاص بالمستخدم.

بمجرد نشره على الجهاز ، يبدأ UpdateAgent في جمع أنواع مختلفة من البيانات وإرسالها إلى خادم القيادة والتحكم (C2 ، C&C) الخاص به. بصرف النظر عن أنشطة المخترعين ، يمكن للإصدارات الأحدث من التهديد الاستفادة من أذونات المستخدم الموجودة بالفعل لتنفيذ إجراءات تدخلية قبل حذف أي أدلة متبقية وتغطية مساراتهاخلسة. تتمثل إحدى الميزات الأكثر تعقيدًا المضافة إلى حصان طروادة في القدرة على تجاوز بروتوكولات الأمان الخاصة بـ Gatekeeper ، وهي ميزة macOS المضمنة والمكلفة بفرض توقيع التعليمات البرمجية والتحقق من التطبيقات التي تم تنزيلها لإيقاف تهديدات البرامج الضارة المحتملة.

الحمولات الإضافية

في حملة هجوم وقعت في أكتوبر 2021 ، لاحظ باحثو إنفوسك أن UpdateAgent يجلب وينشر حمولة المرحلة الثانية على الأنظمة المصابة. أسقط حصان طروادة متغيرًا ينتمي إلى عائلة AdLoad adware السيئة. بينما يتم تكليف AdLoad في الغالب بحقن إعلانات غير مرغوب فيها وعرضها على المستخدمين ، يمكن لمجرمي الإنترنت استخدام UpdateAgent لإسقاط حمولات أخرى أكثر خطورة ، مثل برامج الفدية. وتجدر الإشارة إلى أن حمولات المرحلة الثانية التي تم نشرها بواسطة UpdateAgent قد تمت استضافتها على البنى التحتية السحابية العامة المقدمة من Amazon S3 و CloudFront. بعد أن شاركت Microsoft النتائج التي توصلت إليها مع Amazon Web Services ، تم حذف عناوين URL غير الآمنة.