UpdateAgent 恶意软件

UpdateAgent 是针对 Mac 设备的木马威胁。这个具有威胁性的软件于 2020 年 9 月首次出现，具有相对简单的信息窃取程序的功能。然而，从那时起，威胁背后的网络犯罪分子一直在发展它通过添加越来越多的高级恶意软件功能。最新的 UpdateAgent 变种已变成复杂的特洛伊木马，具有更加集中和精致的行为。

Microsoft 365 Defender 威胁情报团队在一份报告中向公众披露了有关 UpdateAgent 威胁的详细信息。专家们一直在关注威胁的演变及其参与的多项有害活动。根据他们的发现，UpdateAgent 仍在积极开发中，可能会继续配备额外的恶意功能。

分布和能力

UpdateAgent 最有可能通过路过式下载或欺骗性广告弹出窗口进行传播，声称用于合法软件产品，例如视频应用程序或支持代理，但实际上传递了木马威胁。冒充真实产品或与合法软件捆绑在一起会增加 UpddateAgent 渗入用户 Mac 系统的机会。

在设备上部署后，UpdateAgent 开始收集各种数据类型并将它们传输到其命令和控制（C2、C&C）服务器。除了信息窃取活动之外，最新版本的威胁还可以利用现有的用户权限来执行侵入性操作，然后再删除任何剩余的证据并掩盖其踪迹悄悄地。添加到特洛伊木马的最复杂的功能之一是能够绕过 Gatekeeper 的安全协议，这是内置的 macOS 功能，其任务是强制执行代码签名和验证下载的应用程序以阻止潜在的恶意软件威胁。

额外的有效载荷

在 2021 年 10 月发生的一次攻击活动中，信息安全研究人员观察到 UpdateAgent 获取第二阶段有效负载并将其部署到受感染的系统。该木马删除了一个属于讨厌的AdLoad广告软件家族的变种。虽然 AdLoad 的主要任务是注入不需要的广告并将其显示给用户，但网络犯罪分子可以利用 UpdateAgent 删除其他更具威胁性的有效负载，例如勒索软件。需要注意的是，UpdateAgent 部署的第二阶段负载托管在 Amazon S3 和 CloudFront 提供的公共云基础设施上。在微软与亚马逊网络服务分享他们的发现后，不安全的 URL 被删除了。