UpdateAgent Malware

UpdateAgent è una minaccia Trojan che prende di mira i dispositivi Mac. Questo software minaccioso è emerso per la prima volta a settembre 2020 e possedeva le capacità di un infostealer relativamente semplice. Tuttavia, da allora, i criminali informatici dietro la minaccia l'hanno sviluppatacontinuamente, aggiungendo funzionalità malware sempre più avanzate. Le ultime varianti di UpdateAgent si sono trasformate in sofisticati Trojan con un comportamento molto più mirato e raffinato.

I dettagli sulla minaccia UpdateAgent sono stati rivelati al pubblico in un rapporto del team di intelligence sulle minacce di Microsoft 365 Defender. Gli esperti hanno seguito l'evoluzione della minaccia e le molteplici campagne dannose di cui ha fatto parte. Secondo i loro risultati, UpdateAgent è ancora in fase di sviluppo attivo e potrebbe continuare a essere dotato di funzionalità dannose aggiuntive.

Distribuzione e capacità

È molto probabile che UpdateAgent venga diffuso tramite download drive-by o pop-up pubblicitari ingannevoli, che affermano di essere per prodotti software legittimi, come applicazioni video o agenti di supporto, ma, in realtà, forniscono la minaccia Trojan. Impersonare prodotti reali o essere raggruppati insieme a software legittimo aumenta le possibilità che UpddateAgent si infiltri nel sistema Mac dell'utente.

Una volta distribuito sul dispositivo, UpdateAgent inizia a raccogliere vari tipi di dati e a trasmetterli al suo server Command-and-Control (C2, C&C). Oltre alle attività di infostealer, le versioni più recenti della minaccia possono sfruttare le autorizzazioni utente già esistenti per eseguire azioni intrusive prima di eliminare qualsiasi prova rimanente e coprirne le traccedi nascosto. Una delle funzionalità più sofisticate aggiunte al Trojan è la capacità di aggirare i protocolli di sicurezza di Gatekeeper, la funzione integrata di macOS incaricata di far rispettare la firma del codice e la verifica delle app scaricate per bloccare potenziali minacce malware.

Carichi aggiuntivi

In una campagna di attacco che ha avuto luogo nell'ottobre 2021, i ricercatori di infosec hanno osservato UpdateAgent che recuperava e distribuiva un payload di seconda fase ai sistemi infetti. Il Trojan ha rilasciato una variante appartenente alla brutta famiglia di adware AdLoad. Mentre AdLoad ha principalmente il compito di iniettare pubblicità indesiderate e mostrarle agli utenti, i criminali informatici possono utilizzare UpdateAgent per eliminare altri payload molto più minacciosi, come il ransomware. Va notato che i payload della seconda fase distribuiti da UpdateAgent sono stati ospitati su infrastrutture di cloud pubblico fornite da Amazon S3 e CloudFront. Dopo che Microsoft ha condiviso i risultati con Amazon Web Services, gli URL non sicuri sono stati rimossi.