UpdateAgent Зловреден софтуер

UpdateAgent е троянска заплаха, насочена към Mac устройства. Този заплашителен софтуер се появи за първи път през септември 2020 г. и притежаваше възможностите на сравнително прост инфокрадец. Оттогава обаче киберпрестъпниците, които стоят зад заплахата, я развиватнепрекъснато, като добавяте все по-усъвършенствани възможности за злонамерен софтуер. Последните варианти на UpdateAgent се превърнаха в сложни троянски коне с много по-фокусирано и изискано поведение.

Подробности за заплахата UpdateAgent бяха разкрити на обществеността в доклад на Microsoft 365 Defender Threat Intelligence Team. Експертите следят развитието на заплахата и многобройните вредоносни кампании, в които тя е била част. Според техните констатации UpdateAgent все още е в процес на активно развитие и може да продължи да бъде оборудван с допълнителни злонамерени функционалности.

Разпределение и възможности

UpdateAgent най-вероятно се разпространява чрез изтегляния чрез шофиране или измамни рекламни изскачащи прозорци, като се твърди, че е за легитимни софтуерни продукти, като видео приложения или агенти за поддръжка, но в действителност доставя троянската заплаха. Представянето на реални продукти или пакетирането заедно с легитимен софтуер увеличава шансовете UpddateAgent да проникне в Mac системата на потребителя.

След като бъде разгърнат на устройството, UpdateAgent започва да събира различни типове данни и да ги предава към своя сървър за командване и управление (C2, C&C). Освен дейностите за кражба на информация, по-новите версии на заплахата могат да използват вече съществуващите потребителски разрешения за извършване на натрапчиви действия, преди да изтрият всички останали доказателства и да покрият следите сикрадешком. Една от най-сложните функции, добавени към троянския кон, е възможността за заобикаляне на протоколите за сигурност на Gatekeeper, вградената функция на macOS, натоварена с налагането на подписване на код и проверка на изтеглените приложения, за да спре потенциални заплахи от злонамерен софтуер.

Допълнителни полезни товари

В кампания за атака, проведена през октомври 2021 г., изследователите на infosec наблюдаваха UpdateAgent да извлича и разгръща полезен товар от втори етап в заразените системи. Троянецът пусна вариант, принадлежащ към гадното семейство AdLoad рекламен софтуер. Докато AdLoad има най-вече задачата да инжектира нежелани реклами и да ги показва на потребителите, киберпрестъпниците могат да използват UpdateAgent, за да хвърлят други, далеч по-застрашаващи полезни натоварвания, като например ransomware. Трябва да се отбележи, че полезните товари от втория етап, внедрени от UpdateAgent, бяха хоствани в публични облачни инфраструктури, предоставени от Amazon S3 и CloudFront. След като Microsoft сподели своите констатации с Amazon Web Services, опасните URL адреси бяха премахнати.