Mercredi, Microsoft a fait la lumière sur un cheval de Troie Mac auparavant non documenté qui, selon lui, a subi plusieurs itérations depuis sa première apparition en septembre 2020, lui accordant effectivement une « progression croissante de capacités sophistiquées ».
L’équipe Microsoft 365 Defender Threat Intelligence de la société a surnommé la nouvelle famille de logiciels malveillants « UpdateAgent« , retraçant son évolution d’un simple voleur d’informations à un distributeur de charge utile de deuxième étape dans le cadre des multiples vagues d’attaques observées en 2021.
« La dernière campagne a vu le logiciel malveillant installer le logiciel publicitaire Adload évasif et persistant, mais la capacité d’UpdateAgent à accéder à un appareil peut théoriquement être davantage exploitée pour récupérer d’autres charges utiles potentiellement plus dangereuses », ont déclaré les chercheurs. mentionné.
On dit que le malware en cours de développement se propage via des téléchargements intempestifs ou des pop-ups publicitaires qui se font passer pour des logiciels légitimes comme des applications vidéo et des agents de support, même si les auteurs ont apporté des améliorations constantes qui ont transformé UpdateAgent en un élément progressivement persistant. de logiciels malveillants.
Parmi les principales avancées, citons la capacité d’abuser des autorisations des utilisateurs existants pour effectuer subrepticement des activités malveillantes et contourner macOS. Portier contrôles, une fonctionnalité de sécurité qui garantit que seules les applications approuvées de développeurs identifiés peuvent être installées sur un système.
De plus, UpdateAgent s’est avéré tirer parti de l’infrastructure de cloud public, à savoir les services Amazon S3 et CloudFront, pour héberger ses charges utiles de deuxième étape, y compris les logiciels publicitaires, sous la forme de fichiers .DMG ou .ZIP.
Une fois installé, le logiciel malveillant Adload utilise un logiciel d’injection de publicités et l’homme du milieu (MitM) des techniques pour intercepter et rediriger le trafic Internet des utilisateurs via les serveurs de l’attaquant afin d’insérer des publicités malveillantes dans les pages Web et les résultats des moteurs de recherche afin d’augmenter les risques d’infections multiples sur les appareils.
« UpdateAgent se caractérise uniquement par sa mise à niveau progressive des techniques de persistance, une caractéristique clé qui indique que ce cheval de Troie continuera probablement à utiliser des techniques plus sophistiquées dans les campagnes futures », ont averti les chercheurs.