El malware de Mac que se propaga durante ~14 meses instala una puerta trasera en los sistemas infectados

0 Comments


Ilustración estilizada de una puerta que se abre a una pared de código informático.

El malware para Mac conocido como UpdateAgent se ha estado propagando durante más de un año y se está volviendo cada vez más malévolo a medida que sus desarrolladores agregan nuevas campanas y silbatos. Las adiciones incluyen la introducción de una agresiva carga de adware de segunda etapa que instala una puerta trasera persistente en las Mac infectadas.

La familia de malware UpdateAgent comenzó a circular a más tardar en noviembre o diciembre de 2020 como un ladrón de información relativamente básico. Recopiló nombres de productos, números de versión y otra información básica del sistema. Sus métodos de persistencia, es decir, la capacidad de ejecutarse cada vez que se inicia una Mac, también eran bastante rudimentarios.

Ataque de persona en el medio

Tiempo extraordinario, microsoft dijo el miércoles, UpdateAgent se ha vuelto cada vez más avanzado. Además de los datos enviados al servidor del atacante, la aplicación también envía “latidos” que les permiten a los atacantes saber si el malware aún se está ejecutando. También instala el adware conocido como Adload.

Los investigadores de Microsoft escribieron:

Una vez que se instala el adware, utiliza técnicas y software de inyección de anuncios para interceptar las comunicaciones en línea de un dispositivo y redirigir el tráfico de los usuarios a través de los servidores de los operadores de adware, inyectando anuncios y promociones en páginas web y resultados de búsqueda. Más específicamente, Adload aprovecha un ataque Person-in-The-Middle (PiTM) al instalar un proxy web para secuestrar los resultados del motor de búsqueda e inyectar anuncios en las páginas web, desviando así los ingresos publicitarios de los titulares de sitios web oficiales a los operadores de adware.

Adload también es una cepa inusualmente persistente de adware. Es capaz de abrir una puerta trasera para descargar e instalar otros programas publicitarios y cargas útiles, además de recopilar información del sistema que se envía a los servidores C2 de los atacantes. Teniendo en cuenta que tanto UpdateAgent como Adload tienen la capacidad de instalar cargas útiles adicionales, los atacantes pueden aprovechar cualquiera de estos vectores o ambos para generar amenazas potencialmente más peligrosas para los sistemas de destino en campañas futuras.

Antes de instalar el adware, UpdateAgent ahora elimina una marca que un mecanismo de seguridad de macOS llamó Portero agrega a los archivos descargados. (Gatekeeper garantiza que los usuarios reciban una advertencia de que el nuevo software proviene de Internet y también garantiza que el software no coincida con las cepas de malware conocidas). Si bien esta capacidad maliciosa no es nueva:Malware para Mac de 2017 hizo lo mismo: su incorporación en UpdateAgent indica que el malware está en desarrollo regular.

El reconocimiento de UpdateAgent se ha ampliado para recopilar perfil del sistema y SPHtipo de hardware data, que, entre otras cosas, revela el número de serie de una Mac. El malware también comenzó a modificar la carpeta LaunchDaemon en lugar de la carpeta LaunchAgent como antes. Si bien el cambio requiere que UpdateAgent se ejecute como administrador, el cambio permite que el troyano inyecte código persistente que se ejecuta como root.

La siguiente línea de tiempo ilustra la evolución.

microsoft

Una vez instalado, el malware recopila la información del sistema y la envía al servidor de control de los atacantes y realiza una serie de otras acciones. La cadena de ataque del último exploit se ve así:

microsoft

Microsoft dijo que UpdateAgent se hace pasar por software legítimo, como aplicaciones de video o agentes de soporte, que se propaga a través de ventanas emergentes o anuncios en sitios web pirateados o maliciosos. Microsoft no lo dijo explícitamente, pero aparentemente se debe engañar a los usuarios para que instalen UpdateAgent, y durante ese proceso, Gatekeeper funciona según lo diseñado.

En muchos sentidos, la evolución de UpdateAgent es un microcosmos para el panorama del malware macOS en su conjunto: el malware continúa volviéndose más avanzado. Los usuarios de Mac deben aprender a detectar señuelos de ingeniería social, como ventanas emergentes no solicitadas que aparecen en las ventanas del navegador que advierten sobre infecciones o software sin parches.



Source link

Tags: , , , , , , , , , , ,

Leave a Reply

Your email address will not be published.