В последнее время в сфере кибербезопасности наблюдается тенденция, когда компании охотнее делятся информацией со своими партнерами, экспертами и широким сообществом с целью совместного устранения угроз. Ярким примером такого опыта является сотрудничество Microsoft с Apple для устранения уязвимости «Shrootless» в устройствах macOS. Недавно Microsoft раскрыла подробную информацию о сложном трояне, нацеленном на компьютеры Mac.
Согласно Microsoft, троян под названием «UpdateAgent» появился в сети в сентябре 2020 года и на тот момент представлял собой относительно простой зловред для кражи данных. Однако, с тех пор он довольно сильно развился, и его последние версии активно распространяют вторичную полезную нагрузку, такую как рекламное ПО Adload. Microsoft предупредила, что постоянно развивающиеся методы проникновения UpdateAgent означают, что он может развиваться еще дальше в будущих кампаниях и распространять более опасную полезную нагрузку.
UpdateAgent обычно маскируется под легитимное программное обеспечение, которое пользователи добровольно загружают на свои компьютеры Mac. Затем угроза обходит несколько элементов управления macOS, чтобы обосноваться на устройстве. Примером этого является обход компонента Gatekeeper, который был сделан для того, чтобы на устройстве могли работать только доверенные приложения. Затем троянец использует существующие пользовательские разрешения для выполнения вредоносных действий, после чего заметает следы.
Microsoft отмечает, что UpdateAgent подтягивает вредоносную нагрузку с серверов хранилищ S3 и Cloudfront сервиса AWS. Компания из Редмонда работала совместно с с Amazon для удаления известных вредоносных URL-адресов. Эволюцию UpdateAgent от его первого появления в сентябре 2020 года до последней кампании в октябре 2021 года можно увидеть на графике ниже:
Согласно заявлениям Microsoft, кампания UpdateAgent в октябре 2021 года была самой сложной. Троян был запакован в форматы .zip и .pkg и распространялся методом drive-by download (скрытые загрузки со взломанных сайтов), но конечным результатом также была модификация списка Sudoer. Расследование Microsoft показало, что инфраструктура для последней атаки была создана в сентябре 2021 года. Компании удалось обнаружить дополнительные вредоносные домены, а значит UpdateAgent активно развивается и может стать более сложным и опасным в будущем.
Компания поделилась следующей информацией о существующей полезной нагрузке — adware-угрозе Adload:
После установки Adload использует программное обеспечение и методы внедрения рекламы для перехвата онлайн-коммуникаций устройства и перенаправления трафика пользователей через серверы операторов угрозы, внедряя рекламу и рекламные акции на веб-страницы и в результаты поиска. В частности, Adload использует атаку «человек посередине» (PiTM), устанавливая веб-прокси для захвата результатов поисковой системы и внедряя рекламу на веб-страницы тем самым перенаправляя доходы от рекламы от официальных владельцев веб-сайтов к операторам рекламного ПО.
Adload также является необычайно стойким видом рекламного ПО. Он способен открыть бэкдор для загрузки и установки другого рекламного ПО и полезной нагрузки в дополнение к сбору системной информации, которая отправляется на C2-серверы злоумышленников. Учитывая, что и UpdateAgent, и Adload могут устанавливать дополнительные полезные нагрузки, злоумышленники могут использовать один или оба этих вектора для потенциальной доставки более опасных угроз целевым системам в будущих кампаниях.
На данный момент Microsoft подготовила несколько советов по защите от UpdateAgent. В частности, пользователям рекомендуется включить ограниченный доступ к привилегированным ресурсам, устанавливать приложения только из надежных источников, развертывать последние обновления безопасности ПО и использовать Microsoft Edge, который автоматически блокирует вредоносные сайты. Организациям рекомендуется делать все вышеперечисленное, а также использовать Microsoft Defender for Endpoint.
Microsoft считает, что раскрытие этой информации позволило подчеркнуть угрозу развития вредоносных программ и тип решений безопасности, которые поставщики должны предлагать для защиты компьютеров с Windows и других систем. Компания также поделилась некоторыми расширенными поисковыми запросами и индикаторами компрометации (IoC), с которыми вы можете ознакомиться по ссылке.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах