Threat Database Adware UpdateAgent Malware

UpdateAgent Malware

UpdateAgent הוא איום טרויאני המכוון למכשירי Mac. פיסת תוכנה מאיימת זו הופיעה לראשונה בספטמבר 2020 והחזיקה ביכולות של גנב מידע פשוט יחסית. עם זאת, מאז, פושעי הסייבר מאחורי האיום מפתחים אותוברציפות, על ידי הוספת עוד ועוד יכולות תוכנות זדוניות מתקדמות. הגרסאות העדכניות של UpdateAgent הפכו לסוסים טרויאניים מתוחכמים עם התנהגות הרבה יותר ממוקדת ומעודנת.

פרטים על איום UpdateAgent נחשפו לציבור בדו"ח של Microsoft 365 Defender Threat Intelligence Team. המומחים עקבו אחר התפתחות האיום והקמפיינים המזיקים המרובים שהוא היה חלק מהם. על פי הממצאים שלהם, UpdateAgent עדיין בפיתוח פעיל ועשוי להמשיך להיות מצויד בפונקציות זדוניות נוספות.

הפצה ויכולות

סביר להניח ש-UpdateAgent מופץ באמצעות הורדות מ-drive-by או חלונות פרסומות מטעים, בטענה שהוא מיועד למוצרי תוכנה לגיטימיים, כגון יישומי וידאו או סוכני תמיכה, אך למעשה מספק את האיום הטרויאני. התחזות למוצרים אמיתיים או ארוזות לצד תוכנה לגיטימית מגדילה את הסיכוי לחדירת UpddateAgent למערכת המק של המשתמש.

לאחר הפריסה במכשיר, UpdateAgent מתחיל לאסוף סוגי נתונים שונים ולשדר אותם לשרת הפקודה והבקרה (C2, C&C) שלו. מלבד פעילויות גניבת המידע, הגרסאות העדכניות יותר של האיום יכולות למנף את הרשאות המשתמש שכבר קיימות לביצוע פעולות חודרניות לפני מחיקת כל ראיה שנותרה וכיסוי עקבותיהבגניבה. אחת התכונות המתוחכמות ביותר שנוספו לסוס הטרויאני היא היכולת לעקוף את פרוטוקולי האבטחה של Gatekeeper, תכונת ה-macOS המובנית שמטרתה לאכוף חתימת קוד ולאמת אפליקציות שהורדו כדי לעצור איומים פוטנציאליים של תוכנות זדוניות.

מטענים נוספים

במסע תקיפה שהתרחש באוקטובר 2021, חוקרי infosec צפו ב-UpdateAgent מביא ופריסה של מטען שלב שני למערכות הנגועות. הטרויאני הסיר גרסה השייכת למשפחת תוכנות הפרסום המגעילות AdLoad . בעוד ש-AdLoad מוטלת בעיקר על הזרקת פרסומות לא רצויות והצגתן למשתמשים, פושעי סייבר יכולים להשתמש ב-UpdateAgent כדי להפיל מטענים אחרים ומאיימים הרבה יותר, כמו תוכנות כופר. יש לציין כי המטענים של השלב השני שנפרסו על ידי UpdateAgent התארחו בתשתיות ענן ציבוריות שסופקו על ידי Amazon S3 ו-CloudFront. לאחר שמיקרוסופט שיתפה את הממצאים שלה עם שירותי האינטרנט של אמזון, כתובות האתרים הלא בטוחות הוסרו.

מגמות

הכי נצפה

טוען...