UpdateAgent Malware

UpdateAgent är ett trojanskt hot mot Mac-enheter. Denna del av hotfull programvara dök upp först i september 2020 och hade kapaciteten hos en relativt enkel infostelare. Men sedan dess har cyberbrottslingarna bakom hotet utvecklat detkontinuerligt, genom att lägga till fler och mer avancerade malware-funktioner. De senaste UpdateAgent-varianterna har förvandlats till sofistikerade trojaner med mycket mer fokuserat och förfinat beteende.

Detaljer om UpdateAgent-hotet avslöjades för allmänheten i en rapport från Microsoft 365 Defender Threat Intelligence Team. Experterna har följt utvecklingen av hotet och de många skadliga kampanjer som det har varit en del av. Enligt deras resultat är UpdateAgent fortfarande under aktiv utveckling och kan fortsätta att vara utrustad med ytterligare skadliga funktioner.

Distribution och kapacitet

UpdateAgent sprids med största sannolikhet via drive-by-nedladdningar eller bedrägliga popup-annonser, som påstår sig vara för legitima mjukvaruprodukter, såsom videoapplikationer eller supportagenter, men i själva verket levererar det trojanska hotet. Att utge sig för riktiga produkter eller paketeras tillsammans med legitim programvara ökar chansen att UpddateAgent infiltrerar användarens Mac-system.

När den väl har installerats på enheten börjar UpdateAgent skörda olika datatyper och överföra dem till sin Command-and-Control-server (C2, C&C). Förutom infostealer-aktiviteterna kan de nyare versionerna av hotet utnyttja de redan befintliga användarbehörigheterna för att utföra påträngande åtgärder innan de raderar eventuella kvarvarande bevis och täcker dess spåri smyg. En av de mest sofistikerade funktionerna som lagts till trojanen är förmågan att kringgå säkerhetsprotokollen för Gatekeeper, den inbyggda macOS-funktionen som har till uppgift att genomdriva kodsignering och verifiera nedladdade appar för att stoppa potentiella skadliga hot.

Ytterligare nyttolaster

I en attackkampanj som ägde rum i oktober 2021, observerade infosec-forskare UpdateAgent hämta och distribuera ett andra stegs nyttolast till de infekterade systemen. Trojanen släppte en variant som tillhör den otäcka AdLoad adware-familjen. Medan AdLoad mestadels har till uppgift att injicera oönskade annonser och visa dem för användare, kan cyberbrottslingar använda UpdateAgent för att släppa andra, mycket mer hotfulla nyttolaster, såsom ransomware. Det bör noteras att den andra etappens nyttolaster som distribuerades av UpdateAgent var värd på offentliga molninfrastrukturer tillhandahållna av Amazon S3 och CloudFront. Efter att Microsoft delat sina fynd med Amazon Web Services togs de osäkra webbadresserna bort.