UpdateAgent Malware

UpdateAgent is een trojan die zich richt op Mac-apparaten. Dit stukje bedreigende software dook voor het eerst op in september 2020 en bezat de mogelijkheden van een relatief eenvoudige infostealer. Sindsdien hebben de cybercriminelen achter de dreiging deze echter ontwikkeldcontinu door steeds geavanceerdere malwaremogelijkheden toe te voegen. De nieuwste UpdateAgent-varianten zijn veranderd in geavanceerde Trojaanse paarden met veel gerichter en verfijnder gedrag.

Details over de UpdateAgent-dreiging zijn openbaar gemaakt in een rapport van het Microsoft 365 Defender Threat Intelligence Team. De experts hebben de evolutie van de dreiging gevolgd en de meerdere schadelijke campagnes waarvan het deel uitmaakte. Volgens hun bevindingen is UpdateAgent nog steeds in actieve ontwikkeling en kan het worden uitgerust met aanvullende kwaadaardige functionaliteiten.

Distributie en mogelijkheden

UpdateAgent wordt hoogstwaarschijnlijk verspreid via drive-by downloads of misleidende pop-ups van advertenties, die beweren voor legitieme softwareproducten te zijn, zoals videotoepassingen of ondersteuningsagenten, maar in werkelijkheid de Trojaanse dreiging afleveren. Het imiteren van echte producten of gebundeld worden naast legitieme software vergroot de kans dat UpdateAgent het Mac-systeem van de gebruiker infiltreert.

Eenmaal geïmplementeerd op het apparaat, begint UpdateAgent met het verzamelen van verschillende gegevenstypen en deze naar de Command-and-Control (C2, C&C)-server te verzenden. Afgezien van de infostealer-activiteiten, kunnen de recentere versies van de dreiging gebruikmaken van de reeds bestaande gebruikersrechten om intrusieve acties uit te voeren voordat het resterende bewijs wordt verwijderd en de sporen worden uitgewist.stiekem. Een van de meest geavanceerde functies die aan de Trojan zijn toegevoegd, is de mogelijkheid om de beveiligingsprotocollen van Gatekeeper te omzeilen, de ingebouwde macOS-functie die is belast met het afdwingen van code-ondertekening en het verifiëren van gedownloade apps om potentiële malwarebedreigingen te stoppen.

Extra laadvermogen

In een aanvalscampagne die plaatsvond in oktober 2021, observeerden infosec-onderzoekers dat UpdateAgent een tweede-traps payload ophaalde en implementeerde naar de geïnfecteerde systemen. De Trojan liet een variant vallen die tot de vervelende AdLoad adware-familie behoort. Hoewel AdLoad voornamelijk is belast met het injecteren van ongewenste advertenties en deze aan gebruikers toont, kunnen cybercriminelen UpdateAgent gebruiken om andere, veel meer bedreigende payloads, zoals ransomware, te laten vallen. Opgemerkt moet worden dat de payloads van de tweede fase die door UpdateAgent zijn geïmplementeerd, werden gehost op openbare cloudinfrastructuren van Amazon S3 en CloudFront. Nadat Microsoft hun bevindingen met Amazon Web Services had gedeeld, werden de onveilige URL's verwijderd.