Threat Database Adware UpdateAgent 멀웨어

UpdateAgent 멀웨어

UpdateAgent는 Mac 장치를 대상으로 하는 트로이 목마 위협입니다. 이 위협적인 소프트웨어는 2020년 9월에 처음 등장했으며 비교적 단순한 정보 스틸러의 기능을 갖추고 있습니다. 그러나 그 이후로 위협 배후의 사이버 범죄자들은 이를 개발하고 있습니다.점점 더 발전된 멀웨어 기능을 추가하여 지속적으로. 최신 UpdateAgent 변종은 훨씬 더 집중되고 세련된 동작을 통해 정교한 트로이 목마로 변했습니다.

UpdateAgent 위협에 대한 세부 정보는 Microsoft 365 Defender 위협 인텔리전스 팀의 보고서에서 공개되었습니다. 전문가들은 위협의 진화와 위협이 포함된 여러 해로운 캠페인을 추적해 왔습니다. 그들의 조사 결과에 따르면 UpdateAgent는 여전히 활발히 개발 중이며 계속해서 추가 악성 기능을 탑재할 수 있습니다.

배포 및 기능

UpdateAgent는 비디오 애플리케이션이나 지원 에이전트와 같은 합법적인 소프트웨어 제품을 위한 것이라고 주장하지만 실제로는 트로이 목마 위협을 전달하는 드라이브 바이 다운로드 또는 사기성 광고 팝업을 통해 확산될 가능성이 높습니다. 실제 제품을 가장하거나 합법적인 소프트웨어와 함께 번들로 제공되면 UpdateAgent가 사용자의 Mac 시스템에 침투할 가능성이 높아집니다.

장치에 배포되면 UpdateAgent는 다양한 데이터 유형을 수집하여 명령 및 제어(C2, C&C) 서버로 전송하기 시작합니다. Infostealer 활동 외에도 최신 버전의 위협은 기존 사용자 권한을 활용하여 나머지 증거를 삭제하고 추적을 덮기 전에 침입 작업을 수행할 수 있습니다.몰래. 트로이 목마에 추가된 가장 정교한 기능 중 하나는 잠재적인 맬웨어 위협을 차단하기 위해 코드 서명을 적용하고 다운로드한 앱을 확인하는 내장 macOS 기능인 Gatekeeper의 보안 프로토콜을 우회하는 기능입니다.

추가 페이로드

2021년 10월에 발생한 공격 캠페인에서 infosec 연구원은 UpdateAgent가 감염된 시스템에 2단계 페이로드를 가져와 배포하는 것을 관찰했습니다. 트로이 목마는 악성 AdLoad 애드웨어 제품군에 속하는 변종을 삭제했습니다. AdLoad는 대부분 원치 않는 광고를 삽입하고 사용자에게 표시하는 작업을 수행하지만 사이버 범죄자는 UpdateAgent를 사용하여 랜섬웨어와 같은 훨씬 더 위협적인 페이로드를 삭제할 수 있습니다. UpdateAgent에서 배포한 2단계 페이로드는 Amazon S3 및 CloudFront에서 제공하는 퍼블릭 클라우드 인프라에서 호스팅되었습니다. Microsoft가 결과를 Amazon Web Services와 공유한 후 안전하지 않은 URL은 삭제되었습니다.

트렌드

가장 많이 본

로드 중...