传播约 14 个月的恶意程序在 Mac 苹果设备上安装系统后门

图片[1]-传播约 14 个月的恶意程序在 Mac 苹果设备上安装系统后门-零度博客

Door in a wall in a black room textured with hexagons leading to a computer code background 3D illustration backdoor concept (Door in a wall in a black room textured with hexagons leading to a computer code background 3D illustration backdoor concep

被称为 UpdateAgent 的 Mac 恶意软件已经传播了一年多,随着其开发人员添加新的花里胡哨,它变得越来越恶毒。新增内容包括推送一个激进的第二阶段广告软件有效载荷,该有效载荷在受感染的 Mac 上安装持久后门。

UpdateAgent 恶意软件家族最迟于 2020 年 11 月或 2020 年 12 月开始传播,作为一种相对基本的信息窃取者。它收集了产品名称、版本号和其他基本系统信息。它的持久性方法——即每次 Mac 启动时运行的能力——也相当初级。

中间人攻击

微软周三表示,随着时间的推移,UpdateAgent 变得越来越先进。除了发送到攻击者服务器的数据外,该应用程序还发送“心跳”,让攻击者知道恶意软件是否仍在运行。它还安装称为 Adload 的广告软件。

微软研究人员写道:

安装广告软件后,它会使用广告注入软件和技术拦截设备的在线通信,并通过广告软件运营商的服务器重定向用户流量,将广告和促销信息注入网页和搜索结果。更具体地说,Adload 通过安装网络代理来劫持搜索引擎结果并将广告注入网页,从而利用中间人 (PiTM) 攻击,从而将广告收入从官方网站持有者那里吸走给广告软件运营商。

Adload 也是一种异常持久的广告软件。除了收集发送到攻击者的 C2 服务器的系统信息外,它还能够打开后门来下载和安装其他广告软件和有效负载。考虑到 UpdateAgent 和 Adload 都能够安装额外的有效负载,攻击者可以利用其中一个或两个向量在未来的活动中潜在地向目标系统提供更危险的威胁。

在安装广告软件之前,UpdateAgent 现在会删除一个名为Gatekeeper的 macOS 安全机制添加到下载文件的标志。(Gatekeeper 确保用户收到新软件来自 Internet 的警告,并确保该软件与已知的恶意软件不匹配。)虽然这种恶意功能并不新颖——2017年的Mac 恶意软件做了同样的事情——但它的合并进入 UpdateAgent 表示恶意软件正在正常开发中。

UpdateAgent 的侦察功能已扩展到收集系统配置文件SPHardwaretype数据,其中包括揭示 Mac 的序列号。该恶意软件还开始修改 LaunchDaemon 文件夹,而不是之前的 LaunchAgent 文件夹。虽然更改要求 UpdateAgent 以管理员身份运行,但该更改允许木马注入以 root 身份运行的持久代码。

以下时间线说明了演变。

传播约 14 个月的恶意软件在 Mac 苹果设备上感染系统上安装后门

安装后,恶意软件会收集系统信息并将其发送到攻击者的控制服务器并采取许多其他操作。最新漏洞利用的攻击链如下所示:

传播约 14 个月的恶意软件在 Mac 苹果设备上感染系统上安装后门

微软表示,UpdateAgent 伪装成合法软件,例如视频应用程序或支持代理,通过弹出窗口或被黑客或恶意网站上的广告传播。微软没有明确说明,但显然用户必须被诱骗安装 UpdateAgent,在此过程中,Gatekeeper 会按设计工作。

在许多方面,UpdateAgent 的演变是整个 macOS 恶意软件领域的一个缩影:恶意软件继续变得更加先进。Mac 用户应该学习如何发现社会工程诱饵,例如浏览器窗口中出现的不请自来的弹出窗口,警告感染或未打补丁的软件。

THE END
喜欢就支持一下吧
点赞2251 分享
惊爆!Chrome 揭露32个恶意浏览器插件,已被安装7500万次!赶紧保护你的重要隐私资料!| 零度解说-零度博客
7个非常有意思的暗网!-零度博客

7个非常有意思的暗网!

    进入暗网需要使用tor洋葱浏览器 【官网】 打开速度慢建议挂一个高速稳定的 VPN 【点击获取】 1. CIA 美国情报局: http://ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyj...
admin的头像-零度博客admin
2.8W+2261
如何在 LinkedIn 上免费发布工作-零度博客

如何在 LinkedIn 上免费发布工作

LinkedIn 是招聘潜在候选人的最佳专业网络之一。以下是如何在 LinkedIn 上免费发布工作。 LinkedIn 是最受欢迎的专业网络和求职场所之一。您几乎可以找到任何类型的工作,无论是兼职、全职、远...
admin的头像-零度博客admin
1.6W+2252
Windows 11 最新官方正版下载(2024)-零度博客

Windows 11 最新官方正版下载(2024)

  Windows 11 最新官方正式版:【点击下载】 下载 Windows 11 (当前版本:Windows 11 2023 更新 l 版本 23H2) 可通过下面的 3 个选项来安装或创建 Windows 11 介质。请分别查看每一个选项...
admin的头像-零度博客admin
1.4W+1527
Android 13 虚拟化让 Pixel 6 可以运行 Windows 11、Linux 发行版-零度博客

Android 13 虚拟化让 Pixel 6 可以运行 Windows 11、Linux 发行版

第一个Android 13 开发者预览版可能让人感觉有点平淡无奇,但在 Google Pixel 6 智能手机等硬件上,有一个隐藏的宝石可以实现完全虚拟化。 这意味着现在可以在谷歌 Tensor 驱动的手机上运行几乎...
admin的头像-零度博客admin
1.6W+2251
紧急通告:VMware虚拟机软件发现严重漏洞,切勿疏忽,务必立即升级!-零度博客

紧急通告:VMware虚拟机软件发现严重漏洞,切勿疏忽,务必立即升级!

昨晚,虚拟化产品领军企业VMware发布了一份安全公告,揭示了四个高危漏洞。这些漏洞为黑客和恶意软件提供了机会,能够绕过沙箱和虚拟机管理程序的保护,对宿主机的安全构成直接威胁。其中两个漏...
admin的头像-零度博客admin
2.1W+2177
精选五款免费软件,用上绝无遗憾了!-零度博客

精选五款免费软件,用上绝无遗憾了!

精选5款免费的精品软件,每一款都非常的强大! https://youtu.be/WEOtlkgp2hg 软件官网下载地址: 7-Zip:https://www.7-zip.org Sublime Text3:https://www.sublimetext.com/3 gimp:https://...
安卓 iPhone手机上最安全的5款比特币钱包-零度博客

安卓 iPhone手机上最安全的5款比特币钱包

安全钱包的数据推荐来源bitcoin的官方网站   安卓手机:https://bitcoin.org/en/choose-your-wallet?step=5&platform=android&user=experienced iPhone手机:https://bitcoin.org/...
admin的头像-零度博客admin
1.7W+2251
深度精简 Edge浏览器!速度更快,去除首页垃圾信息、自定义标签页、把必应改为 Google 搜索! | 零度解说-零度博客

深度精简 Edge浏览器!速度更快,去除首页垃圾信息、自定义标签页、把必应改为 Google 搜索! | 零度解说

https://youtu.be/H5ZISBFrPAA ============== 2款插件下载 :https://www.freedidi.com/11150.html
admin的头像-零度博客admin
1.7W+1683