UpdateAgent skadelig programvare

UpdateAgent er en trojansk trussel rettet mot Mac-enheter. Denne truende programvaren dukket først opp i september 2020 og hadde egenskapene til en relativt enkel infotyver. Siden den gang har imidlertid nettkriminelle bak trusselen utviklet denkontinuerlig, ved å legge til flere og mer avanserte malware-funksjoner. De siste UpdateAgent-variantene har blitt til sofistikerte trojanere med langt mer fokusert og raffinert oppførsel.

Detaljer om UpdateAgent-trusselen ble avslørt for offentligheten i en rapport fra Microsoft 365 Defender Threat Intelligence Team. Ekspertene har fulgt utviklingen av trusselen og de mange skadelige kampanjene den har vært en del av. I følge funnene deres er UpdateAgent fortsatt under aktiv utvikling og kan fortsette å være utstyrt med ytterligere skadelige funksjoner.

Distribusjon og evner

UpdateAgent blir mest sannsynlig spredt via drive-by-nedlastinger eller villedende reklame-pop-ups, som hevder å være for legitime programvareprodukter, for eksempel videoapplikasjoner eller støtteagenter, men i realiteten leverer den trojanske trusselen. Å utgi seg for ekte produkter eller å bli samlet sammen med legitim programvare øker sjansene for at UpddateAgent infiltrerer brukerens Mac-system.

Når den er distribuert på enheten, begynner UpdateAgent å høste ulike datatyper og overføre dem til Command-and-Control-serveren (C2, C&C). Bortsett fra infostealer-aktivitetene, kan de nyere versjonene av trusselen utnytte de allerede eksisterende brukertillatelsene til å utføre påtrengende handlinger før de sletter gjenværende bevis og dekker sporene.snikende. En av de mest sofistikerte funksjonene som er lagt til trojaneren, er muligheten til å omgå sikkerhetsprotokollene til Gatekeeper, den innebygde macOS-funksjonen som har til oppgave å håndheve kodesignering og verifisere nedlastede apper for å stoppe potensielle trusler mot skadelig programvare.

Ekstra nyttelast

I en angrepskampanje som fant sted i oktober 2021, observerte infosec-forskere UpdateAgent hente og distribuere en andre-trinns nyttelast til de infiserte systemene. Trojaneren droppet en variant som tilhører den ekle AdLoad adware-familien. Mens AdLoad for det meste har til oppgave å injisere uønskede annonser og vise dem til brukere, kan nettkriminelle bruke UpdateAgent for å slippe andre, langt mer truende nyttelaster, som løsepengeprogramvare. Det skal bemerkes at andre-trinns nyttelaster som ble distribuert av UpdateAgent, var vert for offentlige skyinfrastrukturer levert av Amazon S3 og CloudFront. Etter at Microsoft delte funnene sine med Amazon Web Services, ble de usikre nettadressene fjernet.