传播约 14 个月的恶意程序在 Mac 苹果设备上安装系统后门

图片[1]-传播约 14 个月的恶意程序在 Mac 苹果设备上安装系统后门-零度博客

Door in a wall in a black room textured with hexagons leading to a computer code background 3D illustration backdoor concept (Door in a wall in a black room textured with hexagons leading to a computer code background 3D illustration backdoor concep

被称为 UpdateAgent 的 Mac 恶意软件已经传播了一年多,随着其开发人员添加新的花里胡哨,它变得越来越恶毒。新增内容包括推送一个激进的第二阶段广告软件有效载荷,该有效载荷在受感染的 Mac 上安装持久后门。

UpdateAgent 恶意软件家族最迟于 2020 年 11 月或 2020 年 12 月开始传播,作为一种相对基本的信息窃取者。它收集了产品名称、版本号和其他基本系统信息。它的持久性方法——即每次 Mac 启动时运行的能力——也相当初级。

中间人攻击

微软周三表示,随着时间的推移,UpdateAgent 变得越来越先进。除了发送到攻击者服务器的数据外,该应用程序还发送“心跳”,让攻击者知道恶意软件是否仍在运行。它还安装称为 Adload 的广告软件。

微软研究人员写道:

安装广告软件后,它会使用广告注入软件和技术拦截设备的在线通信,并通过广告软件运营商的服务器重定向用户流量,将广告和促销信息注入网页和搜索结果。更具体地说,Adload 通过安装网络代理来劫持搜索引擎结果并将广告注入网页,从而利用中间人 (PiTM) 攻击,从而将广告收入从官方网站持有者那里吸走给广告软件运营商。

Adload 也是一种异常持久的广告软件。除了收集发送到攻击者的 C2 服务器的系统信息外,它还能够打开后门来下载和安装其他广告软件和有效负载。考虑到 UpdateAgent 和 Adload 都能够安装额外的有效负载,攻击者可以利用其中一个或两个向量在未来的活动中潜在地向目标系统提供更危险的威胁。

在安装广告软件之前,UpdateAgent 现在会删除一个名为Gatekeeper的 macOS 安全机制添加到下载文件的标志。(Gatekeeper 确保用户收到新软件来自 Internet 的警告,并确保该软件与已知的恶意软件不匹配。)虽然这种恶意功能并不新颖——2017年的Mac 恶意软件做了同样的事情——但它的合并进入 UpdateAgent 表示恶意软件正在正常开发中。

UpdateAgent 的侦察功能已扩展到收集系统配置文件SPHardwaretype数据,其中包括揭示 Mac 的序列号。该恶意软件还开始修改 LaunchDaemon 文件夹,而不是之前的 LaunchAgent 文件夹。虽然更改要求 UpdateAgent 以管理员身份运行,但该更改允许木马注入以 root 身份运行的持久代码。

以下时间线说明了演变。

传播约 14 个月的恶意软件在 Mac 苹果设备上感染系统上安装后门

安装后,恶意软件会收集系统信息并将其发送到攻击者的控制服务器并采取许多其他操作。最新漏洞利用的攻击链如下所示:

传播约 14 个月的恶意软件在 Mac 苹果设备上感染系统上安装后门

微软表示,UpdateAgent 伪装成合法软件,例如视频应用程序或支持代理,通过弹出窗口或被黑客或恶意网站上的广告传播。微软没有明确说明,但显然用户必须被诱骗安装 UpdateAgent,在此过程中,Gatekeeper 会按设计工作。

在许多方面,UpdateAgent 的演变是整个 macOS 恶意软件领域的一个缩影:恶意软件继续变得更加先进。Mac 用户应该学习如何发现社会工程诱饵,例如浏览器窗口中出现的不请自来的弹出窗口,警告感染或未打补丁的软件。

THE END
喜欢就支持一下吧
点赞2251 分享
谷歌高管称苹果正在“阻止”发短信的客户-零度博客

谷歌高管称苹果正在“阻止”发短信的客户

上周六,Android的老板弘Lockheimer指责“利用同伴的压力和欺凌的方式来销售产品的苹果”,后一个华尔街日报报道透露了美国青少年已经把苹果的iMessage成社会地位的象征是锁定Android用户了。 ...
admin的头像-零度博客admin
1.5W+2251
推荐7款非常实用的 ChatGPT 浏览器插件!-零度博客

推荐7款非常实用的 ChatGPT 浏览器插件!

1.ChatGP连接互联网  因为目前ChatGPT 人工智能仅限于 2021 年以前的信息,但是通过这款扩展,它可以访问互联网上的最新信息 【链接】 2.引擎的搜索结果页面展现ChatGPT   它可以在搜索引擎...
admin的头像-零度博客admin
1.3W+6539
Windows 11 最新版 (24H2)发布了!新增AI视频超分辨率、声音克隆、Sudo提权等实用功能!附详细的免费升级教程 | 零度解说-零度博客
這5款免費軟體,希望你知道的越早越好!2020 | 零度解說-零度博客

這5款免費軟體,希望你知道的越早越好!2020 | 零度解說

https://youtu.be/ME2jxWLltA0 更多视频▶https://www.youtube.com/channel/UCvijahEyGtvMpmMHBu4FS2w?sub_confirmation=1 打赏支持零度▶https://www.paypal.me/JL2010?locale.x=zh_XC onlyoff...
显卡要涨价了!RTX 30 LHR挖矿限制被100%破解,这次有什么猫腻?| 零度解说-零度博客
DeepSeek:美国科技巨头为何冒险接入?高级玩法、本地部署全解析!| 零度解说-零度博客

DeepSeek:美国科技巨头为何冒险接入?高级玩法、本地部署全解析!| 零度解说

https://youtu.be/0e7pb_AwgK4   DeepSeek本地部署工具下载:https://www.freedidi.com/11195.html
AI 开发者盛会 | GTC 2024 完整直播视频-零度博客

AI 开发者盛会 | GTC 2024 完整直播视频

https://www.youtube.com/watch?v=Y2F8yisiS6E
admin的头像-零度博客admin
1.3W+1527
手机锁屏继续播放YouTube音乐的方法-零度博客

手机锁屏继续播放YouTube音乐的方法

1,海外用户直接安装Musi这款APP即可 下载地址:https://apps.apple.com/us/app/musi-simple-music-streaming/id591560124 2,大陆用户,可能无法直接下载这款APP,大家可以自己去注册一个美区...
5款堪称神器般的电脑神器!高效办公、学习娱乐必备!-零度博客

5款堪称神器般的电脑神器!高效办公、学习娱乐必备!

1.FolderMove 【官网】 *FolderMove 是通过自动创建符号链接来移动操作系统安装的最佳权威和免费解决方案。 将程序或游戏的安装文件夹移动到其他驱动器,无需破坏或重新安装。将创建一个从旧目...
admin的头像-零度博客admin
1.3W+6540