Um malware insidioso para Mac está ficando mais sofisticado

Malware para Mac conhecido como UpdateAgent vem se espalhando por mais de um ano, e está se tornando cada vez mais malévolo à medida que seus desenvolvedores adicionam novos sinos e assobios. As adições incluem o envio de uma carga de spy ware agressiva de segundo estágio que instala um backdoor persistente em Macs infectados.

A família de malware UpdateAgent começou a round o mais tardar em novembro ou dezembro de 2020 como um ladrão de informações relativamente básico. Ele coletou nomes de produtos, números de versão e outras informações básicas do sistema. Seus métodos de persistência - ou seja, a capacidade de executar cada vez que um Mac botas - também eram bastante rudimentares.

Ataque pessoa no meio

Hora additional, Microsoft disse na quarta-feira, o UpdateAgent ficou cada vez mais avançado. Além dos dados enviados ao servidor do invasor, o aplicativo também envia “heartbeats” que informam aos invasores se o malware ainda está em execução. Ele também instala spy ware conhecido como Adload.

Os pesquisadores da Microsoft escreveram:

Depois que o spy ware é instalado, ele united states device e técnicas de injeção de anúncios para interceptar as comunicações on-line de um dispositivo e redirecionar o tráfego dos usuários através dos servidores dos operadores de spy ware, injetando anúncios e promoções em páginas da internet e resultados de pesquisa. Mais especificamente, o Adload aproveita um ataque Particular person-in-The-Center (PiTM) instalando um proxy da internet para sequestrar resultados de mecanismos de pesquisa e injetar anúncios em páginas da internet, desviando assim a receita de anúncios de proprietários de websites oficiais para os operadores de spy ware.

Adload também é uma cepa de spy ware extraordinariamente persistente. Ele é capaz de abrir um backdoor para baixar e instalar outros adwares e cargas úteis, além de coletar informações do sistema que são enviadas aos servidores C2 dos invasores. Considerando que tanto o UpdateAgent quanto o Adload têm a capacidade de instalar cargas adicionais, os invasores podem aproveitar um ou ambos esses vetores para potencialmente entregar ameaças mais perigosas aos sistemas de destino em campanhas futuras.

Antes de instalar o spy ware, UpdateAgent agora take away um sinalizador que um Mac OS mecanismo de segurança chamado Porteiro adiciona aos arquivos baixados. (O Gatekeeper garante que os usuários recebam um aviso de que um novo device vem da Web e também garante que o device não corresponda a cepas de malware conhecidas.) Embora esse recurso malicioso não seja novidade—Malware para Mac de 2017 fez a mesma coisa — sua incorporação ao UpdateAgent indica que o malware está em desenvolvimento common.

O reconhecimento do UpdateAgent foi expandido para coletar perfil do sistema e SPHardwaretype knowledge, que, entre outras coisas, revela o número de série de um Mac. O malware também começou a modificar a pasta LaunchDaemon em vez da pasta LaunchAgent como antes. Embora a alteração exija que o UpdateAgent seja executado como administrador, a alteração permite que o trojan injete código persistente que é executado como root.

A linha do pace a seguir ilustra a evolução.