Nieuwe variant van UpdateAgent Malware infecteert Mac-computers met adware

UpdateAgent Malware Nachrichten

Microsoft heeft woensdag licht geworpen op een voorheen ongedocumenteerde Mac-trojan die naar eigen zeggen verschillende iteraties heeft ondergaan sinds zijn eerste verschijning in september 2020, waardoor het in feite een „toenemende progressie van geavanceerde mogelijkheden“ heeft gekregen.

Het Microsoft 365 Defender Threat Intelligence Team van het bedrijf noemde de nieuwe malwarefamilie „UpdateAgent„, waarin de evolutie in kaart wordt gebracht van een barebones-informatie-stealer naar een tweede-traps payload-distributeur als onderdeel van meerdere aanvalsgolven die in 2021 zijn waargenomen.

„De laatste campagne zag de malware de ontwijkende en aanhoudende Adload-adware installeren, maar het vermogen van UpdateAgent om toegang te krijgen tot een apparaat kan in theorie verder worden benut om andere, potentieel gevaarlijkere payloads op te halen“, aldus de onderzoekers. zei.

Er wordt gezegd dat de actief in ontwikkeling zijnde malware wordt verspreid via drive-by downloads of pop-ups van advertenties die zich voordoen als legitieme software zoals video-applicaties en ondersteuningsagenten, zelfs als de auteurs gestage verbeteringen hebben aangebracht die UpdateAgent hebben getransformeerd in een progressief persistent stuk van malware.

UpdateAgent-malware

Een van de belangrijkste verbeteringen is de mogelijkheid om bestaande gebruikersrechten te misbruiken om heimelijk kwaadaardige activiteiten uit te voeren en macOS te omzeilen poortwachter controls, een beveiligingsfunctie die ervoor zorgt dat alleen vertrouwde applicaties van geïdentificeerde ontwikkelaars op een systeem kunnen worden geïnstalleerd.

Bovendien is vastgesteld dat UpdateAgent profiteert van de openbare cloudinfrastructuur, namelijk Amazon S3 en CloudFront-services, om zijn payloads van de tweede fase, inclusief adware, te hosten in de vorm van .DMG- of .ZIP-bestanden.

Eenmaal geïnstalleerd, maakt de Adload-malware gebruik van advertentie-injectiesoftware en man-in-the-middle (MitM) technieken om het internetverkeer van gebruikers te onderscheppen en om te leiden via de servers van de aanvaller om malafide advertenties in webpagina’s en zoekmachineresultaten in te voegen om de kans op meerdere infecties op de apparaten te vergroten.

„UpdateAgent wordt uniek gekenmerkt door zijn geleidelijke upgrade van persistentietechnieken, een belangrijke functie die aangeeft dat deze trojan in toekomstige campagnes waarschijnlijk meer geavanceerde technieken zal blijven gebruiken“, waarschuwden de onderzoekers.

David
Rate author
Hackarizona