Threat Database Adware UpdateAgent Malware

UpdateAgent Malware

UpdateAgent to trojan atakujący urządzenia Mac. To groźne oprogramowanie pojawiło się po raz pierwszy we wrześniu 2020 r. i posiadało możliwości stosunkowo prostego złodzieja informacji. Jednak od tego czasu cyberprzestępcy stojący za zagrożeniem rozwijają jestale, dodając coraz bardziej zaawansowane możliwości złośliwego oprogramowania. Najnowsze warianty UpdateAgenta przekształciły się w wyrafinowane trojany o znacznie bardziej skoncentrowanym i wyrafinowanym zachowaniu.

Szczegóły dotyczące zagrożenia UpdateAgent zostały ujawnione opinii publicznej w raporcie zespołu Microsoft 365 Defender Threat Intelligence Team. Eksperci śledzą ewolucję zagrożenia i liczne szkodliwe kampanie, których było częścią. Zgodnie z ich ustaleniami, UpdateAgent jest nadal aktywnie rozwijany i może nadal być wyposażony w dodatkowe złośliwe funkcjonalności.

Dystrybucja i możliwości

UpdateAgent jest najprawdopodobniej rozprzestrzeniany za pośrednictwem drive-by download lub zwodniczych reklam pop-up, podszywając się pod legalne oprogramowanie, takie jak aplikacje wideo lub agenci pomocy technicznej, ale w rzeczywistości dostarcza trojana. Podszywanie się pod prawdziwe produkty lub dołączanie do legalnego oprogramowania zwiększa szanse na to, że UpdateAgent przeniknął do systemu Mac użytkownika.

Po wdrożeniu na urządzeniu UpdateAgent zaczyna zbierać różne typy danych i przesyłać je do swojego serwera Command-and-Control (C2, C&C). Oprócz działań wykradających informacje, nowsze wersje zagrożenia mogą wykorzystywać już istniejące uprawnienia użytkownika do wykonywania natrętnych działań przed usunięciem wszelkich pozostałych dowodów i zatarciem śladówukradkiem. Jedną z najbardziej wyrafinowanych funkcji dodanych do trojana jest możliwość ominięcia protokołów bezpieczeństwa Gatekeeper, wbudowanej funkcji systemu macOS, której zadaniem jest wymuszanie podpisywania kodu i weryfikacja pobranych aplikacji w celu powstrzymania potencjalnych zagrożeń złośliwym oprogramowaniem.

Dodatkowe ładunki

W kampanii ataku, która miała miejsce w październiku 2021 r., badacze infosec zaobserwowali, że UpdateAgent pobiera i wdraża w zainfekowanych systemach ładunek drugiego etapu. Trojan upuścił wariant należący do nieprzyjemnej rodziny adware AdLoad. Podczas gdy AdLoad ma głównie za zadanie wstrzykiwać niechciane reklamy i wyświetlać je użytkownikom, cyberprzestępcy mogą wykorzystywać UpdateAgent do usuwania innych, znacznie groźniejszych ładunków, takich jak oprogramowanie ransomware. Należy zauważyć, że ładunki drugiego etapu wdrożone przez UpdateAgent były hostowane w publicznych infrastrukturach chmurowych dostarczanych przez Amazon S3 i CloudFront. Po tym, jak Microsoft udostępnił swoje ustalenia Amazon Web Services, niebezpieczne adresy URL zostały usunięte.

Popularne

Najczęściej oglądane

Ładowanie...