Mac恶意软件"UpdateAgent"会安装广告软件后门

微软详细介绍了一种名为UpdateAgent的相对较新的Mac恶意软件的演变，该恶意软件于2020年底开始窃取系统信息，但已演变成提供广告软件和潜在其他威胁的工具。

UpdateAgent最新，最强大的功能之一是能够绕过Apple的内置Gatekeeper系统，该系统旨在仅允许受信任的签名应用程序在Mac上运行。

微软现在标记了该恶意软件，因为它似乎正在不断发展。今天，它安装了一个名为Adload的"异常持久"的广告软件威胁，但微软警告说，它可能被用来在未来分发其他更危险的有效载荷。例如，微软发现其制造商在Amazon Web Services的S3和CloudFront服务上托管了额外的有效负载。

虽然它确实要求受害者安装伪装成合法软件的应用程序，例如在广告弹出窗口中推广的视频应用程序或支持代理，但绕过Gatekeeper控制的能力非常重要。它还可以使用现有用户权限删除其在系统上存在的证据。

自2020年9月至12月期间发现以来，当时它只是一个信息窃取者，该恶意软件已经进行了多次升级，以提高持久性，使其能够在用户登录到受影响的设备后保留在系统上。到2021年1月，它可以从公共云提供商处获取辅助有效负载作为macOS的.dmg文件。

在2021年3月，它再次更新为获取压缩的.zip文件而不是.dmg文件，并进行了调整以防止Gatekeeper向用户显示弹出窗口警告，指出文件来自"身份不明的开发人员"。然后在八月份，它通过更改进行了改进，允许恶意软件注入持久代码，这些代码在用户不可见的后台进程中以root身份运行。

"UpdateAgent的独特之处在于其持久性技术的逐步升级，这是一个关键特征，表明该木马可能会在未来的活动中继续使用更复杂的技术，"微软在一篇博客文章中表示，并警告说它可能会遵循Windows常见的恶意软件的轨迹。

"像在其他平台上发现的许多信息窃取者一样，恶意软件试图渗透macOS机器以窃取数据，并且它与其他类型的恶意有效载荷相关联，从而增加了设备上多次感染的机会。

UpdateAgent的制造商于2021年10月开始将Adload作为辅助有效载荷分发，当时微软发出警报，通过公共云提供商分发恶意软件。微软表示，它已与AWS协调，从其云服务中删除恶意链接。Adload能够打开后门以安装其他有效负载。

"一旦安装了广告软件，它就会使用广告注入软件和技术来拦截设备的在线通信，并通过广告软件运营商的服务器重定向用户的流量，将广告和促销注入网页和搜索结果中，"微软指出。

"更具体地说，Adload通过安装网络代理来劫持搜索引擎结果并将广告注入网页，从而将广告收入从官方网站持有者虹吸到广告软件运营商，从而利用中间人（PiTM）攻击。

微软对Mac恶意软件感兴趣，因为更多的企业支持企业网络上的非Windows设备。它鼓励防御者在macOS上使用其Edge浏览器，因为它支持Microsoft的Defender SmartScreen来阻止恶意网站。

与此同时，微软的Defender for Endpoint企业安全平台可用于检测UpdateAgent滥用Apple的PlistBuddy工具来管理macOS应用程序的PLIST（属性列表）属性文件。