微軟分享針對Mac的UpdateAgent復雜木馬的細節(jié)

網(wǎng)絡安全仍然是一個不斷發(fā)展的領(lǐng)域，對威脅者和安全專家來說都是如此。盡管如此，最近產(chǎn)生的一個積極因素是，公司更愿意與合作伙伴、專家和更大的社區(qū)分享信息，共同應對威脅。這方面的一個例子是，微軟與蘋果合作修補macOS設(shè)備中的"Shrootless"漏洞。微軟已經(jīng)提供了有關(guān)一個針對Mac的復雜木馬的詳細信息。
該木馬被稱為"UpdateAgent"，早在2020年9月就出現(xiàn)了，是一個相對基本的信息竊取者。然而，從那時起發(fā)展到現(xiàn)在，它已經(jīng)進化了很多，其最近的升級版本實際上已經(jīng)開始對外"承攬生意"，分發(fā)二級有效載荷，如Adload廣告軟件。微軟提醒說，UpdateAgent不斷發(fā)展的持續(xù)滲透方法意味著它在未來的活動中可能會進一步發(fā)展，并分發(fā)更危險的載荷。
UpdateAgent通常會偽裝成用戶在其Mac上下載的合法軟件。然后，它繞過幾個macOS控件，在設(shè)備中持續(xù)存在。這方面的一個例子是繞過Gatekeeper，原本這一機制是為了確保只有受信任的應用程序可以在計算機硬件上運行。然后，該木馬程序利用現(xiàn)有的用戶權(quán)限來執(zhí)行惡意活動，之后就會掩蓋其蹤跡。
微軟還指出，UpdateAgent從S3和AWS的Cloudfront下載其惡意的載荷。因此，該公司已與亞馬遜合作，刪除了一些已知的問題URL。從UpdateAgent在2020年9月首次出現(xiàn)到2021年10月的最新活動，可以從下面的圖中看到它的演變。
微軟表示，2021年10月的UpdateAgent活動是其迄今為止最復雜的活動之一。該木馬以.zip和.pkg格式打包，并通過驅(qū)動下載進行傳播，但最終結(jié)果也包括對Sudoer列表的修改。微軟的調(diào)查還顯示，最新攻擊的基礎(chǔ)設(shè)施是在2021年9月創(chuàng)建的，同時還發(fā)現(xiàn)了其他惡意域名。這表明，UpdateAgent正在積極開發(fā)，并可能在接下來繼續(xù)變得更加復雜和危險。
該公司對現(xiàn)有的Adload Adware載荷提供了以下細節(jié)分享：
一旦廣告軟件被安裝，它就會使用廣告注入軟件和技術(shù)來攔截設(shè)備的在線通信，并通過廣告軟件運營商的服務器重定向用戶的流量，將廣告和促銷活動注入到網(wǎng)頁和搜索結(jié)果。更具體地說，Adload利用中間人（PiTM）攻擊，通過安裝一個網(wǎng)絡代理來劫持搜索引擎結(jié)果，并將廣告注入網(wǎng)頁，從而將廣告收入從官方網(wǎng)站持有人那里抽走，轉(zhuǎn)給廣告軟件運營商。
Adload也是一種異常持久的廣告軟件。它能夠打開一個后門，下載和安裝其他廣告軟件載荷，此外還能收集系統(tǒng)信息，并將其發(fā)送到攻擊者的C2服務器?？紤]到UpdateAgent和Adload都有能力安裝額外的有效載荷，攻擊者可以利用這些載體中的任何一個或兩個，在未來的活動中可能向目標系統(tǒng)提供更危險的威脅。
就目前而言，微軟有一些針對UpdateAgent的保護建議。對于公眾來說，這些建議包括限制對特權(quán)資源的訪問，只從受信任的來源安裝應用程序，部署最新的軟件安全更新，以及使用能自動阻止惡意網(wǎng)站的瀏覽器。
微軟希望通過分享所有這些信息，強調(diào)不斷演變的惡意軟件的威脅，以及供應商必須提供的安全解決方案的類型，以保護Windows和非Windows機器。
文章轉(zhuǎn)載自cnBeta.COM