UpdateAgent Malware

UpdateAgent je trojanska grožnja, ki cilja na naprave Mac. Ta del grozeče programske opreme se je prvič pojavil septembra 2020 in je imel zmogljivosti razmeroma preprostega kradljivca informacij. Vendar pa jo od takrat razvijajo kibernetski kriminalci, ki stojijo za grožnjonenehno, z dodajanjem vedno bolj naprednih zmogljivosti zlonamerne programske opreme. Najnovejše različice UpdateAgent so se spremenile v sofisticirane trojance z veliko bolj osredotočenim in izpopolnjenim vedenjem.

Podrobnosti o grožnji UpdateAgent so bile javnosti razkrite v poročilu skupine Microsoft 365 Defender Threat Intelligence Team. Strokovnjaki so spremljali razvoj grožnje in številne škodljive kampanje, v katerih je bila del. Po njihovih ugotovitvah je UpdateAgent še vedno v aktivnem razvoju in bo morda še naprej opremljen z dodatnimi zlonamernimi funkcionalnostmi.

Distribucija in zmogljivosti

UpdateAgent se najverjetneje širi prek prenosov ali zavajajočih oglasnih pojavnih oken, ki trdijo, da so za zakonite programske izdelke, kot so video aplikacije ali podporni agenti, v resnici pa predstavlja grožnjo trojanskega konja. Poosebljanje resničnih izdelkov ali združevanje skupaj z zakonito programsko opremo poveča možnosti, da bi UpddateAgent infiltriral v uporabnikov sistem Mac.

Ko je UpdateAgent nameščen v napravi, začne zbirati različne vrste podatkov in jih prenašati na svoj strežnik za upravljanje in nadzor (C2, C&C). Poleg dejavnosti kraje informacij lahko novejše različice grožnje izkoristijo že obstoječa uporabniška dovoljenja za izvajanje vsiljivih dejanj, preden izbrišejo vse preostale dokaze in zakrijejo slediprikrito. Ena najbolj izpopolnjenih funkcij, ki so bile dodane trojancu, je zmožnost zaobidenja varnostnih protokolov Gatekeeperja, vgrajene funkcije macOS, ki je zadolžena za uveljavljanje podpisovanja kode in preverjanje prenesenih aplikacij za zaustavitev morebitnih groženj zlonamerne programske opreme.

Dodatne koristne obremenitve

V napadalni kampanji, ki je potekala oktobra 2021, so raziskovalci infoseca opazili, da UpdateAgent pridobi in namesti koristno obremenitev druge stopnje v okužene sisteme. Trojanec je spustil različico, ki spada v grdo družino oglasne programske opreme AdLoad . Medtem ko je AdLoad večinoma zadolžen za injiciranje neželenih oglasov in njihovo prikazovanje uporabnikom, lahko kibernetski kriminalci uporabijo UpdateAgent za spuščanje drugih, veliko bolj nevarnih koristnih bremen, kot je izsiljevalska programska oprema. Treba je opozoriti, da so druge stopnje koristne obremenitve, ki jih je namestil UpdateAgent, gostovale v javnih infrastrukturah v oblaku, ki jih zagotavljata Amazon S3 in CloudFront. Potem ko je Microsoft svoje ugotovitve delil s spletnimi storitvami Amazon, so bili nevarni URL-ji odstranjeni.