UpdateAgent 惡意軟件

UpdateAgent 是針對 Mac 設備的木馬威脅。這個具有威脅性的軟件於 2020 年 9 月首次出現，具有相對簡單的信息竊取程序的功能。然而，從那時起，威脅背後的網絡犯罪分子一直在發展它通過添加越來越多的高級惡意軟件功能。最新的 UpdateAgent 變種已變成複雜的特洛伊木馬，具有更加集中和精緻的行為。

Microsoft 365 Defender 威脅情報團隊在一份報告中向公眾披露了有關 UpdateAgent 威脅的詳細信息。專家們一直在關注威脅的演變及其參與的多項有害活動。根據他們的發現，UpdateAgent 仍在積極開發中，可能會繼續配備額外的惡意功能。

分佈和能力

UpdateAgent 最有可能通過路過式下載或欺騙性廣告彈出窗口進行傳播，聲稱用於合法軟件產品，例如視頻應用程序或支持代理，但實際上傳遞了木馬威脅。冒充真實產品或與合法軟件捆綁在一起會增加 UpddateAgent 滲入用戶 Mac 系統的機會。

在設備上部署後，UpdateAgent 開始收集各種數據類型並將它們傳輸到其命令和控制（C2、C&C）服務器。除了信息竊取活動之外，最新版本的威脅還可以利用現有的用戶權限來執行侵入性操作，然後再刪除任何剩餘的證據並掩蓋其踪跡悄悄地。添加到特洛伊木馬的最複雜的功能之一是能夠繞過 Gatekeeper 的安全協議，這是內置的 macOS 功能，其任務是強制執行代碼簽名和驗證下載的應用程序以阻止潛在的惡意軟件威脅。

額外的有效載荷

在 2021 年 10 月發生的一次攻擊活動中，信息安全研究人員觀察到 UpdateAgent 獲取第二階段有效負載並將其部署到受感染的系統。該木馬刪除了一個屬於討厭的AdLoad廣告軟件家族的變種。雖然 AdLoad 的主要任務是注入不需要的廣告並將其顯示給用戶，但網絡犯罪分子可以利用 UpdateAgent 刪除其他更具威脅性的有效負載，例如勒索軟件。需要注意的是，UpdateAgent 部署的第二階段負載託管在 Amazon S3 和 CloudFront 提供的公共雲基礎設施上。在微軟與亞馬遜網絡服務分享他們的發現後，不安全的 URL 被刪除了。