【安全资讯】UpdateAgent木马利用广告软件感染Mac设备

引言

2021年10月，微软发现并分析了一个复杂的Mac木马：UpdateAgent。该木马自 2020 年 9 月首次出现以来，已经历了多次迭代，增加了多种复杂功能。在最新的活动中，恶意软件安装了隐蔽和持久的 Adload 广告软件，可以利用UpdateAgent访问设备权限的能力来获取其他更危险的有效载荷。

简况

与许多信息窃取程序一样，UpdateAgent试图渗透 macOS 机器以窃取数据，并且与其他类型的恶意负载相关联，从而增加了设备受感染的机会。据悉，UpdateAgent木马可能通过路过式下载或广告弹出窗口进行传播。安装在受害者设备上后，UpdateAgent 开始收集系统信息，然后将这些信息发送到其命令和控制 (C2) 服务器。

UpdateAgent恶意软件的开发人员在去年定期更新该木马，以改进其初始功能并为该木马的工具箱添加新功能。下面的时间线说明了 UpdateAgent 从 2020 年 9 月到 2021 年 10 月采用的一系列技术：

在2021 年 10 月的活动中，UpdateAgent 包含了多种复杂的技术。攻击者以.zip或.pkg格式分发木马化应用程序。活动的攻击链如下：

研究人员在 2021 年 10 月的活动中进一步观察到了 UpdateAgent 木马的两个不同变体，每种变体都利用不同的策略来感染设备。此外，UpdateAgent能够获取辅助有效负载，从而增加设备上多次感染的机会。UpdateAgent 在其 2021 年 10 月的活动中将Adload广告软件作为辅助负载分发，安装广告软件后，它会使用广告注入软件拦截设备的在线通信，并通过广告软件运营商的服务器重定向用户流量，将广告和促销信息注入网页和搜索结果。

总结

在分析 UpdateAgent 的基础架构后，研究人员确定 2021 年 10 月活动中使用的基础架构是在 2021 年 9 月末创建的，这表明该木马仍处于开发阶段，并可能会在未来的更新中添加或修改其功能，继续其提高其整体的复杂程度。