انتشار جزئیاتی از تروجان پیچیده UpdateAgent در مک ها

امنیت سایبری همچنان یک حوزه در حال تحول است، هم برای عوامل تهدید و هم برای کارشناسان امنیتی. گفته می‌شود، یکی از نکات مثبتی که اخیراً از آن بیرون آمده، این واقعیت است که شرکت‌ها تمایل بیشتری برای به اشتراک گذاشتن اطلاعات با شرکا، کارشناسان و جامعه بزرگ‌تر برای مقابله با تهدیدات دارند. یک نمونه از این کار، همکاری مایکروسافت با اپل برای اصلاح آسیب‌پذیری «Shrootless» در دستگاه‌های macOS است. اکنون، شرکت فناوری ردموند اطلاعات دقیقی در مورد یک تروجان پیچیده ارائه کرده است که Macs را هدف قرار می دهد.

مایکروسافت می گوید که این تروجان “UpdateAgent” نام دارد و در سپتامبر 2020 به عنوان یک دزد اطلاعات نسبتاً اولیه ظاهر شد. با این حال، از آن زمان تاکنون، بسیار تکامل یافته و تکرارهای اخیر آن در واقع برای توزیع بار ثانویه، مانند Adload شناخته شده است. مایکروسافت هشدار داده است که روش‌های نفوذ مداوم UpdateAgent در حال تکامل به این معنی است که می‌تواند در کمپین‌های آینده حتی بیشتر تکامل یابد و بار خطرناک‌تری را توزیع کند.

UpdateAgent معمولاً به عنوان یک نرم افزار قانونی معرفی می شود که کاربران در مک خود دانلود می کنند. سپس چندین کنترل macOS را دور می زند تا در دستگاه باقی بماند. نمونه ای از این دور زدن Gatekeeper است که برای اطمینان از اینکه فقط برنامه های قابل اعتماد می توانند روی سخت افزار شما اجرا شوند ساخته شده است. سپس تروجان از مجوزهای کاربر موجود برای انجام فعالیت های مخرب استفاده می کند و به دنبال آن مسیرهای خود را پوشش می دهد.

مایکروسافت همچنین اشاره کرد که UpdateAgent بار مخرب خود را از سطل های S3 و Cloudfront در AWS دانلود می کند. بنابراین این شرکت با آمازون همکاری کرده است تا برخی از URL های مشکل ساز شناخته شده را حذف کند. تکامل UpdateAgent از اولین حضور آن در سپتامبر 2020 تا آخرین کمپین آن در اکتبر 2021 در نمودار زیر قابل مشاهده است:

مایکروسافت اعلام کرد که کمپین اکتبر 2021 برای UpdateAgent پیچیده‌ترین کمپین آن تاکنون بوده است. تروجان در فرمت‌های .zip و pkg. بسته‌بندی شده بود و از طریق دانلودهای درایو توسط توزیع شد، اما نتیجه نهایی شامل اصلاح لیست Sudoer نیز بود. تحقیقات مایکروسافت همچنین نشان داد که زیرساخت آخرین حمله در سپتامبر 2021 ایجاد شده و دامنه‌های مخرب دیگری نیز شناسایی شده است. این نشان می دهد که UpdateAgent به طور فعال در حال توسعه است و ممکن است همچنان پیچیده تر و خطرناک تر شود.

این شرکت جزئیات زیر را برای به اشتراک گذاشتن در مورد بارگذاری موجود Adload در اختیار داشت:

پس از نصب ابزار تبلیغاتی، از نرم‌افزار و تکنیک‌های تزریق تبلیغات برای رهگیری ارتباطات آنلاین دستگاه و هدایت ترافیک کاربران از طریق سرورهای اپراتورهای تبلیغاتی استفاده می‌کند و تبلیغات را به صفحات وب و نتایج جستجو تزریق می‌کند. به طور خاص، Adload از یک حمله Person-in-The-Middle (PiTM) با نصب یک پروکسی وب برای ربودن نتایج موتورهای جستجو و تزریق تبلیغات به صفحات وب استفاده می کند، در نتیجه درآمد تبلیغات را از دارندگان وب سایت رسمی به اپراتورهای ابزارهای تبلیغاتی مزاحم منتقل می کند.

Adload نیز یک نوع غیرعادی مداوم از ابزارهای تبلیغاتی مزاحم است. علاوه بر جمع‌آوری اطلاعات سیستمی که به سرورهای C2 مهاجمان ارسال می‌شود، می‌تواند یک درب پشتی را برای دانلود و نصب سایر ابزارهای تبلیغاتی مزاحم و محموله‌ها باز کند. با توجه به اینکه هم UpdateAgent و هم Adload توانایی نصب بارهای اضافی را دارند، مهاجمان می توانند از هر یک یا هر دوی این بردارها برای ارائه تهدیدات خطرناک تر به سیستم های هدف در کمپین های آینده استفاده کنند.

در حال حاضر، مایکروسافت توصیه هایی برای محافظت در برابر UpdateAgent دارد. برای عموم، این موارد شامل دسترسی محدود به منابع پریمیوم، نصب برنامه‌ها فقط از منابع قابل اعتماد، استقرار آخرین به‌روزرسانی‌های امنیتی نرم‌افزار، و استفاده از مایکروسافت اج است که وب‌سایت‌های مخرب را به‌طور خودکار مسدود می‌کند. در همین حال، سازمان ها تشویق می شوند تا همه موارد فوق را انجام دهند و از Microsoft Defender for Endpoint نیز استفاده کنند. مایکروسافت امیدوار است که با به اشتراک گذاشتن همه این اطلاعات، بر تهدید بدافزار در حال تکامل و نوع راه حل های امنیتی که فروشندگان باید برای محافظت از ماشین های ویندوز و غیر ویندوز ارائه دهند، تاکید کرده باشد.