Вредоносное ПО UpdateAgent

UpdateAgent — это троянская угроза, нацеленная на устройства Mac. Это опасное программное обеспечение впервые появилось еще в сентябре 2020 года и обладало возможностями относительно простого инфостилера. Однако с тех пор киберпреступники, стоящие за угрозой, разрабатывают ее.постоянно, добавляя все больше и больше передовых возможностей вредоносных программ. Последние варианты UpdateAgent превратились в изощренных троянов с гораздо более целенаправленным и утонченным поведением.

Подробности об угрозе UpdateAgent были раскрыты общественности в отчете группы аналитики угроз Microsoft 365 Defender. Эксперты следили за эволюцией угрозы и многочисленными вредоносными кампаниями, частью которых она была. Согласно их выводам, UpdateAgent все еще находится в активной разработке и может по-прежнему оснащаться дополнительными вредоносными функциями.

Распространение и возможности

UpdateAgent, скорее всего, распространяется через загрузку с диска или вводящие в заблуждение рекламные всплывающие окна, утверждая, что они предназначены для законных программных продуктов, таких как видеоприложения или агенты поддержки, но на самом деле доставляют троянскую угрозу. Выдача себя за настоящие продукты или их комплектация вместе с законным программным обеспечением увеличивает вероятность того, что UpddateAgent проникнет в систему Mac пользователя.

После развертывания на устройстве UpdateAgent начинает собирать различные типы данных и передавать их на свой сервер управления и контроля (C2, C&C). Помимо действий по краже информации, более поздние версии угрозы могут использовать уже существующие разрешения пользователя для выполнения навязчивых действий, прежде чем удалять все оставшиеся доказательства и заметать следы.украдкой. Одной из самых сложных функций, добавленных к троянцу, является возможность обходить протоколы безопасности Gatekeeper, встроенной функции macOS, которая обеспечивает принудительную подпись кода и проверку загруженных приложений для предотвращения потенциальных угроз вредоносного ПО.

Дополнительные полезные нагрузки

В ходе кампании атаки, имевшей место в октябре 2021 года, исследователи информационной безопасности наблюдали, как UpdateAgent извлекает и развертывает полезную нагрузку второго этапа в зараженных системах. Троянец сбросил вариант, принадлежащий неприятному семейству рекламного ПО AdLoad . В то время как AdLoad в основном занимается внедрением нежелательной рекламы и отображением ее пользователям, киберпреступники могут использовать UpdateAgent для сброса других, гораздо более опасных полезных нагрузок, таких как программы-вымогатели. Следует отметить, что полезные нагрузки второго этапа, развернутые UpdateAgent, размещались в общедоступных облачных инфраструктурах, предоставляемых Amazon S3 и CloudFront. После того, как Microsoft поделилась своими выводами с Amazon Web Services, небезопасные URL-адреса были удалены.