UpdateAgent Malware

UpdateAgent ist eine Trojaner-Bedrohung, die auf Mac-Geräte abzielt. Diese bedrohliche Software tauchte erstmals im September 2020 auf und besaß die Fähigkeiten eines relativ einfachen Infostealers. Seitdem haben die Cyberkriminellen hinter der Bedrohung sie jedoch kontinuierlich weiterentwickelt, indem immer mehr fortschrittliche Malware-Funktionen hinzugefügt werden. Die neuesten UpdateAgent-Varianten haben sich in ausgeklügelte Trojaner mit weitaus fokussierterem und raffinierterem Verhalten verwandelt.

Details zur UpdateAgent-Bedrohung wurden der Öffentlichkeit in einem Bericht des Microsoft 365 Defender Threat Intelligence-Teams offenbart. Die Experten haben die Entwicklung der Bedrohung und die zahlreichen schädlichen Kampagnen verfolgt, an denen sie beteiligt war. Ihren Erkenntnissen zufolge befindet sich UpdateAgent noch in der aktiven Entwicklung und kann weiterhin mit zusätzlichen Schadfunktionen ausgestattet werden.

Verteilung und Fähigkeiten

UpdateAgent wird höchstwahrscheinlich über Drive-by-Downloads oder irreführende Werbe-Popups verbreitet, die vorgeben, für legitime Softwareprodukte wie Videoanwendungen oder Support-Agenten zu sein, in Wirklichkeit aber die Trojaner-Bedrohung liefern. Sich als echte Produkte auszugeben oder zusammen mit legitimer Software gebündelt zu werden, erhöht die Wahrscheinlichkeit, dass UpdateAgent das Mac-System des Benutzers infiltriert.

Nach der Bereitstellung auf dem Gerät beginnt UpdateAgent, verschiedene Datentypen zu sammeln und an seinen Command-and-Control-Server (C2, C&C) zu übertragen. Abgesehen von den Infostealer-Aktivitäten können die neueren Versionen der Bedrohung die bereits vorhandenen Benutzerberechtigungen nutzen, um aufdringliche Aktionen durchzuführen, bevor alle verbleibenden Beweise gelöscht und ihre Spuren heimlich verwischt werden. Eine der ausgeklügeltsten Funktionen, die dem Trojaner hinzugefügt wurden, ist die Fähigkeit, die Sicherheitsprotokolle von Gatekeeper zu umgehen, der integrierten macOS-Funktion, die mit der Durchsetzung von Code-Signaturen und der Überprüfung heruntergeladener Apps beauftragt ist, um potenzielle Malware-Bedrohungen zu stoppen.

Zusätzliche Nutzlasten

In einer Angriffskampagne, die im Oktober 2021 stattfand, beobachteten Forscher von Infosec, dass UpdateAgent eine Nutzlast der zweiten Stufe abruft und auf den infizierten Systemen bereitstellt. Der Trojaner hat eine Variante der bösen AdLoad- Adware-Familie abgelegt. Während AdLoad hauptsächlich damit beauftragt ist, unerwünschte Werbung einzufügen und sie den Benutzern anzuzeigen, können Cyberkriminelle UpdateAgent verwenden, um andere, weitaus bedrohlichere Payloads wie Ransomware zu liefern. Es sei darauf hingewiesen, dass die von UpdateAgent bereitgestellten Payloads der zweiten Stufe auf öffentlichen Cloud-Infrastrukturen gehostet wurden, die von Amazon S3 und CloudFront bereitgestellt wurden. Nachdem Microsoft seine Ergebnisse mit Amazon Web Services geteilt hatte, wurden die unsicheren URLs entfernt.