UpdateAgent Malware

UpdateAgent je trojská hrozba zaměřená na zařízení Mac. Tento hrozivý software se poprvé objevil v září 2020 a měl schopnosti relativně jednoduchého infostealera. Od té doby ji však kyberzločinci za hrozbou rozvíjeliprůběžně přidáváním stále pokročilejších možností malwaru. Nejnovější varianty UpdateAgent se proměnily v sofistikované trojské koně s mnohem cílenějším a rafinovanějším chováním.

Podrobnosti o hrozbě UpdateAgent byly veřejnosti odhaleny ve zprávě týmu Microsoft 365 Defender Threat Intelligence Team. Odborníci sledovali vývoj hrozby a četné škodlivé kampaně, jichž byla součástí. Podle jejich zjištění je UpdateAgent stále v aktivním vývoji a může být nadále vybaven dalšími škodlivými funkcemi.

Distribuce a schopnosti

UpdateAgent se s největší pravděpodobností šíří prostřednictvím stahování z auta nebo klamavých reklamních vyskakovacích oken, které prohlašují, že jsou určeny pro legitimní softwarové produkty, jako jsou video aplikace nebo agenti podpory, ale ve skutečnosti přináší trojskou hrozbu. Vydávání se za skutečné produkty nebo přibalení k legitimnímu softwaru zvyšuje šance, že UpdateAgent pronikne do systému Mac uživatele.

Po nasazení na zařízení začne UpdateAgent sklízet různé typy dat a přenášet je na svůj server Command-and-Control (C2, C&C). Kromě aktivit infostealer mohou novější verze hrozby využít již existující uživatelská oprávnění k provádění rušivých akcí, než smažou veškeré zbývající důkazy a zakryjí své stopy.tajně. Jednou z nejsofistikovanějších funkcí přidaných do trojského koně je schopnost obejít bezpečnostní protokoly Gatekeepera, vestavěné funkce macOS, která má za úkol vynucovat podepisování kódu a ověřovat stažené aplikace, aby se zastavily potenciální hrozby malwaru.

Další užitečné zatížení

V útočné kampani, která se uskutečnila v říjnu 2021, výzkumníci z Infosec pozorovali, jak UpdateAgent načítá a nasazuje druhou fázi užitečného zatížení na infikované systémy. Trojan vypustil variantu patřící do ošklivé rodiny adwaru AdLoad . Zatímco AdLoad má většinou za úkol vkládat nechtěné reklamy a zobrazovat je uživatelům, kyberzločinci mohou využít UpdateAgent k vypouštění jiných, mnohem hrozivějších zátěží, jako je ransomware. Je třeba poznamenat, že datová zatížení druhé fáze nasazená UpdateAgentem byla hostována na veřejných cloudových infrastrukturách poskytovaných Amazon S3 a CloudFront. Poté, co Microsoft sdílel svá zjištění s Amazon Web Services, byly nebezpečné adresy URL odstraněny.