En 400-6655-581
5
返回列表
> 資源中心 > 文章>榮譽&資訊> 微軟分享針對Mac的UpdateAgent復(fù)雜木馬的細節(jié)

微軟分享針對Mac的UpdateAgent復(fù)雜木馬的細節(jié)

文章

2022-02-07瀏覽次數(shù):214

網(wǎng)絡(luò)安全仍然是一個不斷發(fā)展的領(lǐng)域,對威脅者和安全專家來說都是如此。盡管如此,最近產(chǎn)生的一個積極因素是,公司更愿意與合作伙伴、專家和更大的社區(qū)分享信息,共同應(yīng)對威脅。這方面的一個例子是,微軟與蘋果合作修補macOS設(shè)備中的"Shrootless"漏洞。微軟已經(jīng)提供了有關(guān)一個針對Mac的復(fù)雜木馬的詳細信息。
該木馬被稱為"UpdateAgent",早在2020年9月就出現(xiàn)了,是一個相對基本的信息竊取者。然而,從那時起發(fā)展到現(xiàn)在,它已經(jīng)進化了很多,其最近的升級版本實際上已經(jīng)開始對外"承攬生意",分發(fā)二級有效載荷,如Adload廣告軟件。微軟提醒說,UpdateAgent不斷發(fā)展的持續(xù)滲透方法意味著它在未來的活動中可能會進一步發(fā)展,并分發(fā)更危險的載荷。
UpdateAgent通常會偽裝成用戶在其Mac上下載的合法軟件。然后,它繞過幾個macOS控件,在設(shè)備中持續(xù)存在。這方面的一個例子是繞過Gatekeeper,原本這一機制是為了確保只有受信任的應(yīng)用程序可以在計算機硬件上運行。然后,該木馬程序利用現(xiàn)有的用戶權(quán)限來執(zhí)行惡意活動,之后就會掩蓋其蹤跡。
微軟還指出,UpdateAgent從S3和AWS的Cloudfront下載其惡意的載荷。因此,該公司已與亞馬遜合作,刪除了一些已知的問題URL。從UpdateAgent在2020年9月首次出現(xiàn)到2021年10月的最新活動,可以從下面的圖中看到它的演變。
微軟表示,2021年10月的UpdateAgent活動是其迄今為止最復(fù)雜的活動之一。該木馬以.zip和.pkg格式打包,并通過驅(qū)動下載進行傳播,但最終結(jié)果也包括對Sudoer列表的修改。微軟的調(diào)查還顯示,最新攻擊的基礎(chǔ)設(shè)施是在2021年9月創(chuàng)建的,同時還發(fā)現(xiàn)了其他惡意域名。這表明,UpdateAgent正在積極開發(fā),并可能在接下來繼續(xù)變得更加復(fù)雜和危險。
該公司對現(xiàn)有的Adload Adware載荷提供了以下細節(jié)分享:
一旦廣告軟件被安裝,它就會使用廣告注入軟件和技術(shù)來攔截設(shè)備的在線通信,并通過廣告軟件運營商的服務(wù)器重定向用戶的流量,將廣告和促銷活動注入到網(wǎng)頁和搜索結(jié)果。更具體地說,Adload利用中間人(PiTM)攻擊,通過安裝一個網(wǎng)絡(luò)代理來劫持搜索引擎結(jié)果,并將廣告注入網(wǎng)頁,從而將廣告收入從官方網(wǎng)站持有人那里抽走,轉(zhuǎn)給廣告軟件運營商。
Adload也是一種異常持久的廣告軟件。它能夠打開一個后門,下載和安裝其他廣告軟件載荷,此外還能收集系統(tǒng)信息,并將其發(fā)送到攻擊者的C2服務(wù)器??紤]到UpdateAgent和Adload都有能力安裝額外的有效載荷,攻擊者可以利用這些載體中的任何一個或兩個,在未來的活動中可能向目標系統(tǒng)提供更危險的威脅。
就目前而言,微軟有一些針對UpdateAgent的保護建議。對于公眾來說,這些建議包括限制對特權(quán)資源的訪問,只從受信任的來源安裝應(yīng)用程序,部署最新的軟件安全更新,以及使用能自動阻止惡意網(wǎng)站的瀏覽器。
微軟希望通過分享所有這些信息,強調(diào)不斷演變的惡意軟件的威脅,以及供應(yīng)商必須提供的安全解決方案的類型,以保護Windows和非Windows機器。
文章轉(zhuǎn)載自cnBeta.COM