微軟分享針對Mac的UpdateAgent複雜木馬的細節
網絡安全仍然是一個不斷發展的領域,對威脅者和安全專家來說都是如此。儘管如此,最近產生的一個積極因素是,公司更願意與合作夥伴、專家和更大的社區分享信息,共同應對威脅。這方面的一個例子是,微軟與蘋果合作修補macOS設備中的”Shrootless”漏洞。微軟已經提供了有關一個針對Mac的複雜木馬的詳細信息。
該木馬被稱為”UpdateAgent”,早在2020年9月就出現了,是一個相對基本的信息竊取者。然而,從那時起發展到現在,它已經進化了很多,其最近的升級版本實際上已經開始對外”承攬生意”,分發二級有效載荷,如Adload廣告軟件。微軟提醒說,UpdateAgent不斷發展的持續滲透方法意味著它在未來的活動中可能會進一步發展,並分發更危險的載荷。
UpdateAgent通常會偽裝成用戶在其Mac上下載的合法軟件。然後,它繞過幾個macOS控件,在設備中持續存在。這方面的一個例子是繞過Gatekeeper,原本這一機制是為了確保只有受信任的應用程序可以在計算機硬件上運行。然後,該木馬程序利用現有的用戶權限來執行惡意活動,之後就會掩蓋其踪跡。
微軟還指出,UpdateAgent從S3和AWS的Cloudfront下載其惡意的載荷。因此,該公司已與亞馬遜合作,刪除了一些已知的問題URL。從UpdateAgent在2020年9月首次出現到2021年10月的最新活動,可以從下面的圖中看到它的演變。
微軟表示,2021年10月的UpdateAgent活動是其迄今為止最複雜的活動之一。該木馬以.zip和.pkg格式打包,並通過驅動下載進行傳播,但最終結果也包括對Sudoer列表的修改。微軟的調查還顯示,最新攻擊的基礎設施是在2021年9月創建的,同時還發現了其他惡意域名。這表明,UpdateAgent正在積極開發,並可能在接下來繼續變得更加複雜和危險。
該公司對現有的Adload Adware載荷提供了以下細節分享:
一旦廣告軟件被安裝,它就會使用廣告注入軟件和技術來攔截設備的在線通信,並通過廣告軟件運營商的服務器重定向用戶的流量,將廣告和促銷活動注入到網頁和搜索結果。更具體地說,Adload利用中間人(PiTM)攻擊,通過安裝一個網絡代理來劫持搜索引擎結果,並將廣告注入網頁,從而將廣告收入從官方網站持有人那裡抽走,轉給廣告軟件運營商。
Adload也是一種異常持久的廣告軟件。它能夠打開一個後門,下載和安裝其他廣告軟件載荷,此外還能收集系統信息,並將其發送到攻擊者的C2服務器。考慮到UpdateAgent和Adload都有能力安裝額外的有效載荷,攻擊者可以利用這些載體中的任何一個或兩個,在未來的活動中可能向目標系統提供更危險的威脅。
就目前而言,微軟有一些針對UpdateAgent的保護建議。對於公眾來說,這些建議包括限制對特權資源的訪問,只從受信任的來源安裝應用程序,部署最新的軟件安全更新,以及使用能自動阻止惡意網站的瀏覽器。
微軟希望通過分享所有這些信息,強調不斷演變的惡意軟件的威脅,以及供應商必須提供的安全解決方案的類型,以保護Windows和非Windows機器。
微軟還分享了一些高級技術細節,您可以在這裡閱讀更多信息:
https://www.microsoft.com/security/blog/2022/02/02/the-evolution-of-a-mac-trojan-updateagents-progression/