A Microsoft revelou um vírus Mac até então desconhecido na quarta-feira, alegando que passou por inúmeras versões desde seu primeiro surgimento em setembro de 2020, dando-lhe uma “progressão crescente de capacidades complexas”. O novo tipo de malware foi chamado de “UpdateAgent” pela Equipe de Inteligência de Ameaças do Defender 365 da Microsoft, que mapeou sua progressão de um ladrão de informações autônomo para um distribuidor de carga de segunda fase como parte de várias ondas de assalto vistas em 2021.
“O vírus instalou o adware Adload evasive e persistente na campanha mais recente”, afirmaram os pesquisadores, “mas a capacidade do UpdateAgent de adquirir acesso a um dispositivo pode teoricamente ser ainda mais aproveitada para buscar outras cargas potencialmente mais prejudiciais.”
Mesmo que os autores tenham feito realizações que transformaram o UpdateAgent em um pedaço de malware sucessivamente persistente, o malware vigorosamente em desenvolvimento é dito ser espalhado através de downloads drive-by ou pop-ups de anúncios que se disfarçam de software legítimo, como aplicativos de vídeo e agentes de suporte.
A capacidade de realizar secretamente operações prejudiciais abusando das permissões atuais do usuário e contornando as restrições do MacOS Gatekeeper, um mecanismo de segurança que garante que apenas programas confiáveis de desenvolvedores identificados possam ser instalados em um sistema, é um dos desenvolvimentos mais significativos. UpdateAgent também foi descoberto para usar a infraestrutura de nuvem pública, como os serviços Amazon S3 e CloudFront, para hospedar suas cargas de segundo estágio, como adware, na forma de . DMG ou . Arquivos ZIP.
Uma vez instalado, o malware do Adload usa software de injeção de anúncios e métodos man-in-the-middle (MitM) para sequestrar e redirecionar o tráfego de internet dos usuários através dos servidores do invasor, permitindo que anúncios maliciosos sejam inseridos em páginas da Web e resultados de mecanismos de pesquisa, aumentando a probabilidade de múltiplas infecções nos dispositivos.
Os pesquisadores advertiram que “o UpdateAgent é particularmente definido por sua atualização gradual das técnicas de persistência, um traço significativo que sinaliza que este trojan provavelmente continuará a usar estratégias mais avançadas em campanhas futuras.”
FONTE: MEDIUM