Чтобы поддерживать кибербезопасность, компании делятся информацией со своими партнёрами, экспертами и широким сообществом для совместного устранения угроз. Например, Microsoft с Apple вместе работали над устранением уязвимости Shrootless в системе macOS. Теперь Microsoft рассказала о сложном трояне под компьютеры Mac, ставит в известность Neowin.
Троян называется UpdateAgent и был обнаружен в сентябре 2020 года. Тогда он просто крал некоторую информацию. С тех пор он поумнел, научившись распространять дополнительные вредоносные программы, вроде рекламных. Постоянно эволюционирующие методы проникновения UpdateAgent делают его всё опаснее.
UpdateAgent обычно выдаёт себя за законопослушные приложения, которые пользователи ставят на Mac. Он обходит несколько механизмов macOS, чтобы остаться на устройстве. Например, это Gatekeeper, созданный для обеспечения работы только доверенных приложений. Троян использует существующие пользовательские разрешения для выполнения вредоносных действий, а затем скрывает следы своей деятельности.
UpdateAgent загружает вредоносный код из корзин Amazon S3 и Cloudfront на AWS. Microsoft работала с Amazon над удалением ряда URL-адресов. График показывает эволюцию UpdateAgent.
Кампания UpdateAgent за октябрь 2021 года была наиболее изощрённой. Троян запакован в форматы .zip и .pkg и распространялся скачиванием с диска. Конечной целью была модификация списка Sudoer. Инфраструктура для последней атаки создана в сентябре 2021 года, были найдены дополнительные вредоносные домены. Это указывает на активное развитие UpdateAgent.
После установки рекламного ПО троян использует его и методы внедрения рекламы для перехвата коммуникаций устройства и перенаправления трафика. Трафик идёт по серверам операторов рекламного ПО, внедряя рекламу на веб-страницы и в результаты поиска. Adload использует атаку типа «человек посередине» (PiTM), устанавливая веб-прокси для перехвата результатов поиска и внедрения рекламы на веб-страницы. Соответственно, доходы от рекламы вместо владельцев сайтов попадают к операторам рекламного ПО.
Adload является очень стойким видом рекламного приложения. Он может открыть бэкдор для загрузки и установки другого рекламного ПО, умея попутно собирать системную информацию и передавать её на серверы злоумышленников. UpdateAgent и Adload могут в будущем применяться для доставки ещё более опасных программ.
Microsoft даёт несколько рекомендаций по защите от UpdateAgent. Это ограниченный доступ к привилегированным ресурсам, установка программ из надёжных источников, установка обновлений безопасности программного обеспечения и использование браузера Edge с автоматической блокировкой вредоносных сайтов. Организациям помимо этого рекомендуется использовать Microsoft Defender for Endpoint.
