传播约 14 个月的恶意程序在 Mac 苹果设备上安装系统后门

图片[1]-传播约 14 个月的恶意程序在 Mac 苹果设备上安装系统后门-零度博客

Door in a wall in a black room textured with hexagons leading to a computer code background 3D illustration backdoor concept (Door in a wall in a black room textured with hexagons leading to a computer code background 3D illustration backdoor concep

被称为 UpdateAgent 的 Mac 恶意软件已经传播了一年多,随着其开发人员添加新的花里胡哨,它变得越来越恶毒。新增内容包括推送一个激进的第二阶段广告软件有效载荷,该有效载荷在受感染的 Mac 上安装持久后门。

UpdateAgent 恶意软件家族最迟于 2020 年 11 月或 2020 年 12 月开始传播,作为一种相对基本的信息窃取者。它收集了产品名称、版本号和其他基本系统信息。它的持久性方法——即每次 Mac 启动时运行的能力——也相当初级。

中间人攻击

微软周三表示,随着时间的推移,UpdateAgent 变得越来越先进。除了发送到攻击者服务器的数据外,该应用程序还发送“心跳”,让攻击者知道恶意软件是否仍在运行。它还安装称为 Adload 的广告软件。

微软研究人员写道:

安装广告软件后,它会使用广告注入软件和技术拦截设备的在线通信,并通过广告软件运营商的服务器重定向用户流量,将广告和促销信息注入网页和搜索结果。更具体地说,Adload 通过安装网络代理来劫持搜索引擎结果并将广告注入网页,从而利用中间人 (PiTM) 攻击,从而将广告收入从官方网站持有者那里吸走给广告软件运营商。

Adload 也是一种异常持久的广告软件。除了收集发送到攻击者的 C2 服务器的系统信息外,它还能够打开后门来下载和安装其他广告软件和有效负载。考虑到 UpdateAgent 和 Adload 都能够安装额外的有效负载,攻击者可以利用其中一个或两个向量在未来的活动中潜在地向目标系统提供更危险的威胁。

在安装广告软件之前,UpdateAgent 现在会删除一个名为Gatekeeper的 macOS 安全机制添加到下载文件的标志。(Gatekeeper 确保用户收到新软件来自 Internet 的警告,并确保该软件与已知的恶意软件不匹配。)虽然这种恶意功能并不新颖——2017年的Mac 恶意软件做了同样的事情——但它的合并进入 UpdateAgent 表示恶意软件正在正常开发中。

UpdateAgent 的侦察功能已扩展到收集系统配置文件SPHardwaretype数据,其中包括揭示 Mac 的序列号。该恶意软件还开始修改 LaunchDaemon 文件夹,而不是之前的 LaunchAgent 文件夹。虽然更改要求 UpdateAgent 以管理员身份运行,但该更改允许木马注入以 root 身份运行的持久代码。

以下时间线说明了演变。

传播约 14 个月的恶意软件在 Mac 苹果设备上感染系统上安装后门

安装后,恶意软件会收集系统信息并将其发送到攻击者的控制服务器并采取许多其他操作。最新漏洞利用的攻击链如下所示:

传播约 14 个月的恶意软件在 Mac 苹果设备上感染系统上安装后门

微软表示,UpdateAgent 伪装成合法软件,例如视频应用程序或支持代理,通过弹出窗口或被黑客或恶意网站上的广告传播。微软没有明确说明,但显然用户必须被诱骗安装 UpdateAgent,在此过程中,Gatekeeper 会按设计工作。

在许多方面,UpdateAgent 的演变是整个 macOS 恶意软件领域的一个缩影:恶意软件继续变得更加先进。Mac 用户应该学习如何发现社会工程诱饵,例如浏览器窗口中出现的不请自来的弹出窗口,警告感染或未打补丁的软件。

THE END
喜欢就支持一下吧
点赞2251 分享
彻底关闭 Windows 10 、Windows 11 的自动更新功能!手动 / 一键关闭教程 | 零度解说-零度博客
少年黑客声称他可以远程访问和解锁超过 25 辆特斯拉汽车-零度博客

少年黑客声称他可以远程访问和解锁超过 25 辆特斯拉汽车

谈到电动汽车,网络威胁日益受到关注。虽然我们过去曾看到黑客攻击特斯拉汽车的报道,但最近,一名少年声称可以访问跨越十多个不同地区的 25 多辆特斯拉汽车。 一位 19 岁的自称为 IT 专家的 Da...
admin的头像-零度博客admin
1.5W+2251
Adobe After Effects CC 2019破解版 附安裝教程-零度博客

Adobe After Effects CC 2019破解版 附安裝教程

功能Adobe After Effects CC 2019 16.1.0.204新版本 用於網格雕刻的高級木偶工具 原生3D深度傳遞 更加輕鬆快捷的表達 響應式設計–時間 使用Lumetri Color進行選擇性顏色分級 顯示色彩管理 與Pr...
admin的头像-零度博客admin
1.3W+6539
马斯克收购 Twitter 后,一种开源替代品正在“爆炸式增长”-零度博客

马斯克收购 Twitter 后,一种开源替代品正在“爆炸式增长”

我们可能还不知道 Elon Musk 收购 Twitter 对该平台意味着什么,但由于这一消息,一个 Twitter 替代品已经蓬勃发展。据其创始人称,自马斯克收购以来,自称是“互联网上最大的去中心化社交网络...
admin的头像-零度博客admin
1.6W+2250
谷歌 Chrome 浏览器新增“内存节省” 和 “省电模式” !提高性能、延长续航!附最新开启教程   零度解说-零度博客
什么是 iPhone 和 Android 上的后台应用刷新?-零度博客

什么是 iPhone 和 Android 上的后台应用刷新?

后台应用刷新是什么意思,这个功能有什么用?这是它在 iPhone 和 Android 上的工作方式。 后台应用刷新是 iPhone 和 Android 手机上的一项重要功能。如果您已经看到这个术语四处流传并且不确定...
admin的头像-零度博客admin
1.6W+2251
微软正在为 Edge 浏览器添加免费的内置 VPN-零度博客

微软正在为 Edge 浏览器添加免费的内置 VPN

  微软支持页面透露,微软正在为其 Edge 浏览器添加免费的内置虚拟专用网络 (VPN) 服务,以提高安全性和隐私性。 被称为“边缘安全网络”的微软目前正在测试由 Cloudflare 提供支持的 VPN ...
admin的头像-零度博客admin
1.7W+2250
Cloudflare 解释了为什么 Kiwi Farms 是其有史以来最危险的客户-零度博客

Cloudflare 解释了为什么 Kiwi Farms 是其有史以来最危险的客户

在劳动节周末,最大的在线安全服务提供商之一 Cloudflare 做出了所谓的“危险”决定,阻止访问其最具争议的客户之一,这是一个名为 Kiwi Farms 的日益暴力的另类右翼网络论坛。 这一决定是在为...
admin的头像-零度博客admin
1.6W+2250
谷歌公布 2022 年最受欢迎的十款 Chrome 浏览器扩展程序 | 零度解说-零度博客