UpdateAgent Malware
O UpdateAgent é uma ameaça de Trojan que visa os dispositivos Mac. Este software ameaçador surgiu pela primeira vez em setembro de 2020 e possuía os recursos de um infostealer relativamente simples. No entanto, desde então, os cibercriminosos por trás da ameaça desenvolveram-na continuamente, adicionando recursos de malware cada vez mais avançados. As últimas variantes do UpdateAgent se transformaram em Trojans sofisticados com comportamento muito mais focado e refinado.
Os detalhes sobre a ameaça do UpdateAgent foram revelados ao público em um relatório da equipe de inteligência de ameaças do Microsoft 365 Defender. Os especialistas vêm acompanhando a evolução da ameaça e as múltiplas campanhas prejudiciais das quais ela faz parte. De acordo com suas descobertas, o UpdateAgent ainda está em desenvolvimento ativo e pode continuar a ser equipado com funcionalidades maliciosas adicionais.
Distribuição e Capacidades
O UpdateAgent provavelmente está sendo espalhado por meio de downloads drive-by ou pop-ups com anúncios enganosos, alegando promover produtos de software legítimos, tais como aplicativos de vídeo ou agentes de suporte, mas, na realidade, entregando a ameaça de Trojan. A representação de produtos reais ou a inclusão de software legítimo aumenta as chances do UpddateAgent se infiltrar no sistema Mac do usuário.
Uma vez implantado no dispositivo, o UpdateAgent começa a coletar vários tipos de dados e transmiti-los para seu servidor de Comando e Controle (C2, C&C). Além das atividades do infostealer, as versões mais recentes da ameaça podem aproveitar as permissões do usuário já existentes, para executar ações intrusivas antes de excluir qualquer evidência restante e cobrir seus rastrosfurtivamente. Um dos recursos mais sofisticados adicionados ao Trojan é a capacidade de contornar os protocolos de segurança do Gatekeeper, o recurso integrado do macOS, encarregado de impor a assinatura de código e verificar os aplicativos baixados para impedir possíveis ameaças de malware.
Cargas Adicionais
Em uma campanha de ataque que ocorreu em outubro de 2021, os pesquisadores de infosec observaram o UpdateAgent buscando e implantando uma carga útil de segundo estágio nos sistemas infectados. O Trojan lançou uma variante pertencente à desagradável família de adware do AdLoad. Embora o AdLoad seja principalmente encarregado de injetar anúncios indesejados e exibi-los aos usuários, os cibercriminosos podem utilizar o UpdateAgent para instalar outras cargas muito mais ameaçadoras, tais como ransomware. Deve-se observar que as cargas úteis de segundo estágio implantadas pelo UpdateAgent foram hospedadas em infraestruturas da Nuvem pública fornecidas pelo Amazon S3 e pelo CloudFront. Depois que a Microsoft compartilhou suas descobertas com o Amazon Web Services, os URLs inseguros foram removidos.
