Malwarejagers bij Microsoft vestigen de aandacht op een vervelende macOS-malwarefamilie die snel is geëvolueerd van een trojan voor het verzamelen van basisinformatie tot een onopvallende achterdeur met krachtigere mogelijkheden.
De macOS-malwarefamilie, genaamd UpdateAgent, dook iets meer dan een jaar geleden voor het eerst op met rudimentaire infectie- en gegevensdiefstalmogelijkheden, maar onderzoekers hebben tekenen gezien dat de malware een volledig krachtige spionagetoolkit wordt.
In het begin, rond november 2020, zag Microsoft voor het eerst dat de macOS-dreiging werd gebruikt voor verkenning met basisfuncties om productnamen, softwareversies en andere systeeminformatie te verzamelen.
Tegen januari 2021 voegde de nieuwere versie mogelijkheden toe voor het ophalen van secundaire payloads uit openbare clouds en een paar maanden later merkte Microsoft heimelijke omzeilingen van Apple's beveiligingscontroles op, twee verontrustende tekenen dat de bende achter de malware zwaar blijft investeren om slachtoffers te bereiken op Apple's vlaggenschip desktopplatform.
[ LEES: Apple brengt urgente patch uit voor FORCEDENTRY Zero-Days ]
In de tweede helft van 2021 werd de malware nog krachtiger, verzamelde meer doelsysteemgegevens en voegde backdoor-achtige functies toe om extra opdrachten uit te voeren. Microsoft vond later zelfs bewijs dat de malware de mogelijkheid bevatte om de lijst met sudoers te wijzigen, waardoor het een prompt kon omzeilen die gebruikersreferenties met hoge bevoegdheden vereist terwijl de gedownloade app van UpdateAgent werd uitgevoerd.
"De laatste campagne zag de malware de ontwijkende en aanhoudende Adload-adware installeren, maar het vermogen van UpdateAgent om toegang te krijgen tot een apparaat kan theoretisch verder worden benut om andere, potentieel gevaarlijkere payloads op te halen", zei Microsoft in een persbericht. verslag documenteren van de UpdateAgent-malwarefamilie.
De malware, die momenteel wordt gebruikt om geld over te hevelen van kwaadaardige online advertenties, is ook waargenomen terwijl het de Gatekeeper-beveiligingstechnologie van Apple omzeilt en bestaande gebruikersrechten gebruikt om stilletjes kwaadaardige activiteiten uit te voeren voordat het bewijs wordt verwijderd om zijn sporen uit te wissen.
[ LEES: Microsoft schakelt MSIX-protocol uit vanwege misbruik door malware ]
“UpdateAgent lokt zijn slachtoffers door zich voor te doen als legitieme software en kan de functionaliteit van Mac-apparaten in zijn voordeel gebruiken. Een van de meest geavanceerde technieken in de nieuwste toolbox van UpdateAgent is het omzeilen van Gatekeeper-besturingselementen, die zijn ontworpen om ervoor te zorgen dat alleen vertrouwde apps op Mac-apparaten worden uitgevoerd”, aldus Microsoft.
Het bedrijf publiceerde ook technisch bewijs om aan te tonen dat UpdateAgent de openbare cloudinfrastructuur - Amazon S3- en CloudFront-services - misbruikt om extra payloads te hosten.
Redmond deelde zijn bevindingen met Amazon, de kwaadaardige URL's zijn inmiddels verwijderd.
"UpdateAgent wordt uniek gekenmerkt door zijn geleidelijke upgrade van persistentietechnieken, een belangrijke functie die aangeeft dat deze trojan in toekomstige campagnes waarschijnlijk meer geavanceerde technieken zal blijven gebruiken", waarschuwde Microsoft, erop wijzend dat de Trojan waarschijnlijk wordt verspreid via drive-by downloads of advertenties pop-ups die zich voordoen als legitieme softwaretoepassingen.
“Deze actie van zichzelf nabootsen of bundelen met legitieme software vergroot de kans dat gebruikers worden misleid om de malware te installeren. Na installatie begint UpdateAgent met het verzamelen van systeeminformatie die vervolgens naar zijn command-and-control (C2) -server wordt verzonden.
Zie ook: Apple brengt urgente patch uit voor FORCEDENTRY Zero-Days
Zie ook: Microsoft vraagt aandacht voor 'wormbare' Windows-fout
Zie ook: Apple patcht 'actief misbruikte' Mac, iOS-beveiligingsfout
Ryan Naraine is hoofdredacteur bij SecurityWeek en gastheer van de populaire Beveiligingsgesprekken podcast-serie. Hij is een journalist en cyberbeveiligingsstrateeg met meer dan 20 jaar ervaring op het gebied van IT-beveiliging en technologische trends.
Ryan heeft beveiligingsprogramma's opgezet bij grote internationale merken, waaronder Intel Corp., Bishop Fox en Kaspersky GReAT. Hij is mede-oprichter van Threatpost en de wereldwijde SAS-conferentiereeks. Ryans carrière als journalist omvat onder meer artikelen bij grote technologiepublicaties, waaronder Ziff Davis eWEEK, CBS Interactive's ZDNet, PCMag en PC World.
Ryan is directeur van de non-profitorganisatie Security Tinkerers en spreekt regelmatig op beveiligingsconferenties over de hele wereld.
Volg Ryan op Twitter @ryanaraine.
Tags:
