UpdateAgent Malware

UpdateAgent, Mac cihazlarını hedefleyen bir Truva atı tehdididir. Bu tehdit edici yazılım parçası ilk olarak Eylül 2020'de ortaya çıktı ve nispeten basit bir bilgi hırsızının yeteneklerine sahipti. Ancak o zamandan beri, tehdidin arkasındaki siber suçlular onu geliştiriyor.sürekli olarak, daha gelişmiş kötü amaçlı yazılım yetenekleri ekleyerek. En son UpdateAgent çeşitleri, çok daha odaklı ve rafine davranışa sahip karmaşık Truva atlarına dönüştü.

UpdateAgent tehdidiyle ilgili ayrıntılar, Microsoft 365 Defender Threat Intelligence Team tarafından hazırlanan bir raporda halka açıklandı. Uzmanlar, tehdidin evrimini ve parçası olduğu çok sayıda zararlı kampanyayı takip ediyor. Bulgularına göre, UpdateAgent hala aktif olarak geliştirilme aşamasındadır ve ek kötü amaçlı işlevlerle donatılmaya devam edebilir.

Dağıtım ve Yetenekler

UpdateAgent, büyük olasılıkla, video uygulamaları veya destek aracıları gibi meşru yazılım ürünleri için olduğu iddia edilen, ancak gerçekte Truva atı tehdidi ileten, doğrudan indirmeler veya aldatıcı reklam pop-up'ları yoluyla yayılmaktadır. Gerçek ürünleri taklit etmek veya yasal yazılımlarla birlikte paketlenmek, UpddateAgent'ın kullanıcının Mac sistemine sızma şansını artırır.

Cihazda konuşlandırıldıktan sonra UpdateAgent, çeşitli veri türlerini toplamaya ve bunları Komuta ve Kontrol (C2, C&C) sunucusuna iletmeye başlar. Bilgi hırsızı etkinliklerinin yanı sıra, tehdidin daha yeni sürümleri, kalan kanıtları silmeden ve izlerini örtmeden önce müdahaleci eylemler gerçekleştirmek için zaten mevcut olan kullanıcı izinlerinden yararlanabilir.gizlice. Trojan'a eklenen en gelişmiş özelliklerden biri, olası kötü amaçlı yazılım tehditlerini durdurmak için kod imzalamayı zorunlu kılmak ve indirilen uygulamaları doğrulamakla görevli yerleşik macOS özelliği olan Gatekeeper'ın güvenlik protokollerini atlama yeteneğidir.

Ek Yükler

Ekim 2021'de gerçekleşen bir saldırı kampanyasında, bilgi güvenliği araştırmacıları UpdateAgent'ın virüslü sistemlere ikinci aşama bir yük getirip dağıttığını gözlemledi. Truva, kötü AdLoad reklam yazılımı ailesine ait bir varyantı düşürdü. AdLoad çoğunlukla istenmeyen reklamları enjekte etmek ve bunları kullanıcılara göstermekle görevlendirilirken, siber suçlular, fidye yazılımı gibi çok daha tehdit edici diğer yükleri bırakmak için UpdateAgent'ı kullanabilir. UpdateAgent tarafından dağıtılan ikinci aşama yüklerinin, Amazon S3 ve CloudFront tarafından sağlanan genel bulut altyapılarında barındırıldığına dikkat edilmelidir. Microsoft, bulgularını Amazon Web Services ile paylaştıktan sonra, güvenli olmayan URL'ler kaldırıldı.