Microsoft предупреждает, что этот сложный троян для Mac становится все более зловещим

mac trojan более зловещие новости
Троян, известный как UpdateAgent, начал заражать компьютеры Mac еще в сентябре 2020 года, но в то время это заражение было относительно безобидным, не делая ничего, кроме сбора некоторой базовой информации о системе и устройстве и трансляции своего присутствия на сервер управления и контроля (C2). . Однако Microsoft отслеживала это вредоносное ПО с течением времени, и с тех пор оно стало более изощренным и развило более злонамеренное поведение.

По словам Майкрософт , вредоносное ПО заражает компьютеры своих жертв, выдавая себя за законное программное обеспечение или связывая себя с законным программным обеспечением, обманом заставляя пользователей устанавливать его. Когда он впервые начал появляться на устройствах, этот простой похититель информации изначально делал очень мало после установки, пока не прошло около двух месяцев. Где-то в период с января по февраль 2021 года вредоносное ПО получило возможность загружать и устанавливать вторичные полезные нагрузки из общедоступной облачной инфраструктуры, подвергая компьютеры жертв риску дальнейшего заражения.

Затем, в марте 2021 года, вредоносное ПО получило третье обновление, позволяющее обойти функцию безопасности MacOS Gatekeeper. Файлы, загруженные из неизвестных источников, помечаются карантинным обозначением, которое заставляет Gatekeeper блокировать запуск указанных файлов и отображать всплывающие предупреждения, сообщающие пользователям, что они не могут открывать файлы от неизвестных разработчиков. Однако с обновлением от марта 2021 года UpdateAgent получил возможность удалять обозначение карантина из вторичных полезных данных.

В то же время вредоносное ПО начало создавать собственный файл PLIST и добавлять его в папку LaunchAgent, в результате чего вредоносное ПО автоматически запускалось при входе пользователя в систему. В августе 2021 года это поведение было изменено: UpdateAgent начал размещать свой файл PLIST в папке LaunchDaemon, а не в LaunchAgent, что позволило вредоносному ПО внедрять постоянный код, запускаемый от имени пользователя root. Выполнение кода таким образом затрудняет обнаружение вредоносного ПО, поскольку оно работает как фоновые процессы, с которыми пользователи не взаимодействуют. Обновление от августа 2021 года также позволило вредоносной программе сканировать и собирать дополнительную информацию о зараженных устройствах, а именно информацию о System_profile и SPHardwaretype, раскрывая, среди прочего, серийные номера устройств.
mac trojan более зловещая цепочка атак новости
Наконец, в октябре 2021 года Microsoft обнаружила последние варианты UpdateAgent, отметив полный год распространения и разработки вредоносного ПО. Эта последняя версия поставляется с дополнительными возможностями для проверки статуса карантина вредоносных программ, выполнения команд, требующих доступа sudo, более простого редактирования файлов PLIST и обхода запроса, требующего учетных данных пользователя с высокими привилегиями. Также в октябре Microsoft впервые заметила, что UpdateAgent загружает и устанавливает рекламное ПО из семейства Adload, которое перехватывает результаты поисковой системы и внедряет рекламу на веб-страницы, устанавливая веб-прокси. Рекламное ПО Adload также может загружать и устанавливать дополнительное рекламное ПО и полезные нагрузки отдельно от UpdateAgent.

На изображении выше показана цепочка атак UpdateAgent по состоянию на октябрь 2021 года, которая значительно расширена по сравнению с UpdateAgent, впервые появившимся годом ранее. Подробно описывая развитие этого конкретного вредоносного ПО в течение года, Microsoft подчеркивает способность вредоносного ПО со временем становиться все более сложным и опасным. Компания сообщает в своем блоге , что другие трояны для кражи информации следуют аналогичному прогрессу. Вы можете прочитать сообщение в блоге, если хотите узнать о конкретных шагах, которые UpdateAgent предпринимает для заражения устройства.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал