UpdateAgent Malware

UpdateAgent er en trojansk trussel rettet mod Mac-enheder. Dette stykke truende software dukkede først op tilbage i september 2020 og besad evnerne som en relativt simpel infostealer. Men siden da har de cyberkriminelle bag truslen udviklet denløbende ved at tilføje flere og flere avancerede malware-funktioner. De seneste UpdateAgent-varianter er blevet til sofistikerede trojanske heste med langt mere fokuseret og raffineret adfærd.

Detaljer om UpdateAgent-truslen blev afsløret for offentligheden i en rapport fra Microsoft 365 Defender Threat Intelligence Team. Eksperterne har fulgt udviklingen af truslen og de mange skadelige kampagner, den har været en del af. Ifølge deres resultater er UpdateAgent stadig under aktiv udvikling og kan fortsat være udstyret med yderligere ondsindede funktioner.

Distribution og kapaciteter

UpdateAgent bliver højst sandsynligt spredt via drive-by-downloads eller vildledende reklame-pop-ups, der hævder at være for legitime softwareprodukter, såsom videoapplikationer eller supportagenter, men i virkeligheden leverer den trojanske trussel. At efterligne rigtige produkter eller at blive bundtet sammen med legitim software øger chancerne for, at UpddateAgent infiltrerer brugerens Mac-system.

Når den er installeret på enheden, begynder UpdateAgent at høste forskellige datatyper og sende dem til sin Command-and-Control-server (C2, C&C). Bortset fra infostealer-aktiviteterne kan de nyere versioner af truslen udnytte de allerede eksisterende brugertilladelser til at udføre påtrængende handlinger, før de sletter eventuelle resterende beviser og dækker dets sporsnigende. En af de mest sofistikerede funktioner tilføjet til trojaneren er evnen til at omgå sikkerhedsprotokollerne fra Gatekeeper, den indbyggede macOS-funktion, der har til opgave at håndhæve kodesignering og verificere downloadede apps for at stoppe potentielle malwaretrusler.

Yderligere nyttelast

I en angrebskampagne, der fandt sted i oktober 2021, observerede infosec-forskere UpdateAgent hente og implementere en anden-trins nyttelast til de inficerede systemer. Trojaneren droppede en variant, der tilhører den grimme AdLoad adware-familie. Mens AdLoad for det meste har til opgave at injicere uønskede reklamer og vise dem til brugere, kan cyberkriminelle bruge UpdateAgent til at slippe andre, langt mere truende nyttelaster, såsom ransomware. Det skal bemærkes, at den anden trins nyttelast, der blev implementeret af UpdateAgent, blev hostet på offentlige cloud-infrastrukturer leveret af Amazon S3 og CloudFront. Efter at Microsoft delte deres resultater med Amazon Web Services, blev de usikre URL'er fjernet.