Microsoft sier at trojaneren UpdateAgent, som først dukket opp i september 2020, nå er langt mer avansert og farlig.
UpdateAgent mater Mac-er med hackernes annonser-nettverk
Progresjonen til skadevaren kommer i form av en del to der UpdateAgent serverer annonse-skadevare via programmet Adload. Selskapet advarer nå mot ytterligere forbedringer for å lure brukere.
Trojaneren poserer som ekte programvare. Om brukeren installerer den lurer den seg rundt Mac-ens sikkerhetsmekanismer, inkludert macOS Gatekeeper som undersøker at programmer bør få lov å starte eller ikke
Slik har UpdateAgent utviklet seg siden vinteren 2020:
Amazon stengte tilgangen til hackerne
Trojaneren henter faktisk ytterligere programvare for å skade maskiner fra Amazon sine S3-servere og Cloudfront. Microsoft har varslet Amazon slik at de kan fjerne dette.
Annonse
Microsoft forklarer i detalj hvordan det utarter seg:
“Når annonse-skadevaren er installert bruker den programvare og teknikker for annonseinnsprøyting for å fange opp enhets-kommunikasjon og omdirigere brukernes trafikk gjennom annonse-operatørenes servere, og injisere annonser og kampanjer i nettsider og søkeresultater.
Mer spesifikt utnytter Adload et Man in the middle-angrep ved å installere en nettproxy for å kapre søkemotorresultater og injisere annonser på nettsider, og dermed overføre annonseinntekter fra offisielle nettstedinnehavere til adware-operatører.
Adload er også en uvanlig vedvarende belastning av annonseskadevare. Den er i stand til å åpne en bakdør for å laste ned og installere annen adware i tillegg til å høste systeminformasjon som sendes til angripernes C2-servere. Med tanke på at både UpdateAgent og Adload har muligheten til å installere ekstra-programvare, kan angripere utnytte en eller begge av disse vektorene for å potensielt levere farligere trusler mot målsystemer i fremtidige angrep.”
Microsoft forklarer hvordan angrepet fungerer:
Annonse