Компания Microsoft пролила свет на ранее не документированный троян для Mac, который, по её словам, с момента своего первого появления в сентябре 2020 года претерпел несколько итераций, что позволило ему получить «более сложные возможности».

Команда Microsoft 365 Defender Threat Intelligence Team назвала новое семейство вредоносных программ «UpdateAgent» и проследила его эволюцию от простого похитителя информации до загрузчика вредоносного ПО в рамках нескольких волн атак, наблюдавшихся в 2021 году.

«В ходе последней кампании вредоносная программа устанавливала рекламное ПО Adload, но способность UpdateAgent получить доступ к устройству теоретически может быть использована для получения других, потенциально более опасных загрузок», – заявили исследователи.

Как утверждается, активно разрабатываемое вредоносное ПО распространяется посредством рекламных всплывающих окон, которые маскируются под легитимное программное обеспечение, такое как видеоприложения и утилиты техподдержки, хотя авторы постоянно вносят улучшения, которые превращают UpdateAgent во всё более опасную вредоносную программу.

Главным из этих усовершенствований является возможность злоупотребления существующими разрешениями пользователя для скрытного выполнения вредоносных действий и обхода системы контроля macOS Gatekeeper – функции безопасности, обеспечивающей установку на систему только доверенных приложений от определённых разработчиков.

Кроме того, было обнаружено, что UpdateAgent использует преимущества публичной облачной инфраструктуры, а именно сервисов Amazon S3 и CloudFront, для размещения рекламного ПО, в виде файлов фрматов .DMG или .ZIP.

«UpdateAgent отличается постепенным совершенствованием методов защиты, что указывает на то, что этот троян, скорее всего, продолжит использовать более сложные методы в будущих кампаниях», – предупреждают исследователи.

После установки вредоносная программа Adload использует программное обеспечение для внедрения рекламы и методы перехвата и перенаправления интернет-трафика пользователей через серверы злоумышленников для вставки рекламы на веб-страницы и в результаты поисковых систем для увеличения вероятности многократного заражения устройств.


The evolution of a Mac trojan: UpdateAgent’s progression - Microsoft Security Blog
Our discovery and analysis of a sophisticated Mac trojan in October exposed a year-long evolution of a malware family—and depicts the rising complexity of threats across platforms.

Ещё по теме: