Η Microsoft παρουσίασε λεπτομερώς την εξέλιξη ενός σχετικά νέου Mac malware, γνωστό με το όνομα UpdateAgent. Το malware εμφανίστηκε στα τέλη του 2020, κλέβοντας πληροφορίες συστήματος, αλλά τώρα έχει μετατραπεί σε ένα εργαλείο για τη διανομή adware και πιθανώς άλλων απειλών.
Ένα από τα νεότερα και πιο ισχυρά χαρακτηριστικά του UpdateAgent είναι η δυνατότητα παράκαμψης του ενσωματωμένου συστήματος Gatekeeper της Apple, το οποίο έχει σχεδιαστεί για να επιτρέπει την εκτέλεση μόνο αξιόπιστων, signed apps σε Mac.
Δείτε επίσης: Η Apple διόρθωσε zero-day bugs που επηρεάζουν iOS/macOS συσκευές
Σύμφωνα με τη Microsoft, το malware βρίσκεται υπό συνεχή ανάπτυξη και αποκτά νέα χαρακτηριστικά. Τώρα, εγκαθιστά ένα adware που ονομάζεται Adload, αλλά η Microsoft προειδοποιεί ότι θα μπορούσε να χρησιμοποιηθεί και για τη διανομή άλλων πιο επικίνδυνων payloads. Οι ερευνητές της Microsoft βρήκαν ότι οι δημιουργοί του φιλοξενούν κι άλλα payloads σε Amazon Web Services’ S3 και CloudFront υπηρεσίες.
Για να γίνει η μόλυνση, το θύμα πρέπει να εγκαταστήσει μια εφαρμογή που μεταμφιέζεται ως νόμιμο λογισμικό (π.χ. εφαρμογή βίντεο που προωθείται μέσω διαφημίσεων). Ωστόσο, η δυνατότητα παράκαμψης των στοιχείων ελέγχου Gatekeeper είναι σημαντικό πρόβλημα. Το UpdateAgent Mac malware μπορεί, επίσης, να χρησιμοποιήσει τα υπάρχοντα δικαιώματα χρήστη για να διαγράψει στοιχεία της παρουσίας του σε ένα σύστημα.
Δείτε επίσης: Mac: Είναι ευάλωτα σε ιούς/malware; Χρειάζονται antivirus;
Το malware ανακαλύφθηκε στα τέλη του 2020 και τότε χρησιμοποιούνταν μόνο για την κλοπή πληροφοριών. Τώρα, όμως, έχει αναβαθμιστεί ώστε να βελτιώσει το persistence, που του επιτρέπει να παραμείνει σε ένα σύστημα μετά τη σύνδεση των χρηστών στη συσκευή-στόχο.
Κατά τη διάρκεια του 2021 απέκτησε πολλά νέα χαρακτηριστικά που το επέτρεψαν να γίνει ακόμα πιο επικίνδυνο.
“Το UpdateAgent malware χαρακτηρίζεται από τη σταδιακή αναβάθμιση των τεχνικών persistence, ένα βασικό χαρακτηριστικό που υποδεικνύει ότι αυτό το trojan πιθανότατα θα συνεχίσει να χρησιμοποιεί πιο εξελιγμένες τεχνικές σε μελλοντικές καμπάνιες“, λέει η Microsoft σε ένα blogpost.
“Όπως πολλά άλλα malware κλοπής πληροφοριών που βρέθηκαν σε άλλες πλατφόρμες, το κακόβουλο λογισμικό επιχειρεί να διεισδύσει σε μηχανήματα macOS για να κλέψει δεδομένα και σχετίζεται με άλλους τύπους κακόβουλων payloads, αυξάνοντας τις πιθανότητες πολλαπλών μολύνσεων σε μια συσκευή“.
Οι κατασκευαστές του UpdateAgent άρχισαν να διανέμουν το Adload ως δευτερεύον payload τον Οκτώβριο του 2021. Το Adload μπορεί να ανοίξει ένα backdoor για να εγκαταστήσει άλλα κακόβουλα payloads.
Δείτε επίσης: Wormhole cryptocurrency: Κλάπηκαν 326 εκατομμύρια δολάρια μετά από παραβίαση
“Μόλις εγκατασταθεί το adware, χρησιμοποιεί ad injection software και σχετικές τεχνικές για να υποκλέψει τις διαδικτυακές επικοινωνίες μιας συσκευής και να ανακατευθύνει traffic μέσω των διακομιστών των χειριστών των διαφημίσεων, εισάγοντας διαφημίσεις σε ιστοσελίδες και αποτελέσματα αναζήτησης“, σημειώνει η Microsoft.
“Πιο συγκεκριμένα, το Adload εκτελεί μια επίθεση Person-in-The-Middle (PiTM) εγκαθιστώντας web proxy για να παραβιάσει τα αποτελέσματα των μηχανών αναζήτησης και να εισαγάγει διαφημίσεις σε ιστοσελίδες, μεταφέροντας έτσι τα έσοδα από διαφημίσεις από τους κατόχους επίσημων ιστότοπων στους χειριστές του adware“, καταλήγει η εταιρεία.
Πηγή: ZDNet