微軟分享針對(duì)Mac的UpdateAgent復(fù)雜木馬的細(xì)節(jié)

網(wǎng)絡(luò)安全仍然是一個(gè)不斷發(fā)展的領(lǐng)域，對(duì)威脅者和安全專家來(lái)說(shuō)都是如此。盡管如此，最近產(chǎn)生的一個(gè)積極因素是，公司更愿意與合作伙伴、專家和更大的社區(qū)分享信息，共同應(yīng)對(duì)威脅。這方面的一個(gè)例子是，微軟與蘋(píng)果合作修補(bǔ)macOS設(shè)備中的"Shrootless"漏洞。微軟已經(jīng)提供了有關(guān)一個(gè)針對(duì)Mac的復(fù)雜木馬的詳細(xì)信息。
該木馬被稱為"UpdateAgent"，早在2020年9月就出現(xiàn)了，是一個(gè)相對(duì)基本的信息竊取者。然而，從那時(shí)起發(fā)展到現(xiàn)在，它已經(jīng)進(jìn)化了很多，其最近的升級(jí)版本實(shí)際上已經(jīng)開(kāi)始對(duì)外"承攬生意"，分發(fā)二級(jí)有效載荷，如Adload廣告軟件。微軟提醒說(shuō)，UpdateAgent不斷發(fā)展的持續(xù)滲透方法意味著它在未來(lái)的活動(dòng)中可能會(huì)進(jìn)一步發(fā)展，并分發(fā)更危險(xiǎn)的載荷。
UpdateAgent通常會(huì)偽裝成用戶在其Mac上下載的合法軟件。然后，它繞過(guò)幾個(gè)macOS控件，在設(shè)備中持續(xù)存在。這方面的一個(gè)例子是繞過(guò)Gatekeeper，原本這一機(jī)制是為了確保只有受信任的應(yīng)用程序可以在計(jì)算機(jī)硬件上運(yùn)行。然后，該木馬程序利用現(xiàn)有的用戶權(quán)限來(lái)執(zhí)行惡意活動(dòng)，之后就會(huì)掩蓋其蹤跡。
微軟還指出，UpdateAgent從S3和AWS的Cloudfront下載其惡意的載荷。因此，該公司已與亞馬遜合作，刪除了一些已知的問(wèn)題URL。從UpdateAgent在2020年9月首次出現(xiàn)到2021年10月的最新活動(dòng)，可以從下面的圖中看到它的演變。
微軟表示，2021年10月的UpdateAgent活動(dòng)是其迄今為止最復(fù)雜的活動(dòng)之一。該木馬以.zip和.pkg格式打包，并通過(guò)驅(qū)動(dòng)下載進(jìn)行傳播，但最終結(jié)果也包括對(duì)Sudoer列表的修改。微軟的調(diào)查還顯示，最新攻擊的基礎(chǔ)設(shè)施是在2021年9月創(chuàng)建的，同時(shí)還發(fā)現(xiàn)了其他惡意域名。這表明，UpdateAgent正在積極開(kāi)發(fā)，并可能在接下來(lái)繼續(xù)變得更加復(fù)雜和危險(xiǎn)。
該公司對(duì)現(xiàn)有的Adload Adware載荷提供了以下細(xì)節(jié)分享：
一旦廣告軟件被安裝，它就會(huì)使用廣告注入軟件和技術(shù)來(lái)攔截設(shè)備的在線通信，并通過(guò)廣告軟件運(yùn)營(yíng)商的服務(wù)器重定向用戶的流量，將廣告和促銷活動(dòng)注入到網(wǎng)頁(yè)和搜索結(jié)果。更具體地說(shuō)，Adload利用中間人（PiTM）攻擊，通過(guò)安裝一個(gè)網(wǎng)絡(luò)代理來(lái)劫持搜索引擎結(jié)果，并將廣告注入網(wǎng)頁(yè)，從而將廣告收入從官方網(wǎng)站持有人那里抽走，轉(zhuǎn)給廣告軟件運(yùn)營(yíng)商。
Adload也是一種異常持久的廣告軟件。它能夠打開(kāi)一個(gè)后門，下載和安裝其他廣告軟件載荷，此外還能收集系統(tǒng)信息，并將其發(fā)送到攻擊者的C2服務(wù)器?？紤]到UpdateAgent和Adload都有能力安裝額外的有效載荷，攻擊者可以利用這些載體中的任何一個(gè)或兩個(gè)，在未來(lái)的活動(dòng)中可能向目標(biāo)系統(tǒng)提供更危險(xiǎn)的威脅。
就目前而言，微軟有一些針對(duì)UpdateAgent的保護(hù)建議。對(duì)于公眾來(lái)說(shuō)，這些建議包括限制對(duì)特權(quán)資源的訪問(wèn)，只從受信任的來(lái)源安裝應(yīng)用程序，部署最新的軟件安全更新，以及使用能自動(dòng)阻止惡意網(wǎng)站的瀏覽器。
微軟希望通過(guò)分享所有這些信息，強(qiáng)調(diào)不斷演變的惡意軟件的威脅，以及供應(yīng)商必須提供的安全解決方案的類型，以保護(hù)Windows和非Windows機(jī)器。
文章轉(zhuǎn)載自cnBeta.COM