Liam Tung er en fuldtids freelance teknologijournalist, som skriver for adskillige australske publikationer.
Fuld bio den 3. februar 2022 | Emne: Sikkerhed 
Microsoft har beskrevet udviklingen af et relativt nyt stykke Mac-malware kaldet UpdateAgent, der startede med at stjæle systemoplysninger i slutningen af 2020, men har omdannet til et værktøj til at levere adware og potentielt andre trusler.
En af UpdateAgents nyeste og mest potente funktioner er evnen til at omgå Apples indbyggede Gatekeeper-system, der er beregnet til kun at tillade betroede, signerede apps at køre på Macs.
Microsoft har markeret malwaren nu, da den ser ud til at være under kontinuerlig udvikling. I dag installerer den en “usædvanligt vedvarende” adware-trussel kaldet Adload, men Microsoft advarer om, at den kan blive brugt til at distribuere andre mere farlige nyttelaster i fremtiden. For eksempel fandt Microsoft, at dets producenter hoster yderligere nyttelast på Amazon Web Services' S3- og CloudFront-tjenester.
SE: Cybersikkerhed: Lad os blive taktiske (ZDNet-særrapport)
Selvom det kræver, at offeret installerer en app, der forklæder sig som legitim software, som f.eks. en video-app eller supportagent, der promoveres i annonce-pop-ups, er muligheden for at omgå Gatekeeper-kontroller betydelig. Den kan også bruge eksisterende brugertilladelser til at slette beviser for sin tilstedeværelse på et system.
Siden dens opdagelse mellem september og december 2020, hvor den kun var en informationstyver, har malwaren gennemgået adskillige opgraderinger for at forbedre persistens, så den kan forblive på et system, efter at brugere logger ind på den berørte enhed. I januar 2021 kunne den hente sekundære nyttelaster som .dmg-filer til macOS fra offentlige cloud-udbydere.
I marts 2021 blev den opdateret igen for at hente komprimerede .zip-filer i stedet for .dmg-filer og justeret for at forhindre Gatekeeper i at vise pop-up-advarslen til brugere om, at en fil er fra en “uidentificeret udvikler”. Så i august blev det forbedret med ændringer, der gjorde det muligt for malwaren at injicere vedvarende kode, der kørte som root i en baggrundsproces, der er usynlig for brugeren.
“UpdateAgent er unikt kendetegnet ved dets gradvise opgradering af persistensteknikker, en nøglefunktion, der indikerer, at denne trojan sandsynligvis vil fortsætte med at bruge mere sofistikerede teknikker i fremtidige kampagner,” siger Microsoft i et blogindlæg og advarer om, at det kunne følge banen for malware, der er fælles for Windows.
“Som mange informationstjælere, der findes på andre platforme, forsøger malwaren at infiltrere macOS-maskiner for at stjæle data, og den er forbundet med andre typer ondsindede nyttelaster, hvilket øger chancerne for flere infektioner på en enhed.”
UpdateAgents producenter begyndte at distribuere Adload som en sekundær nyttelast i oktober 2021, da Microsoft slog en alarm om, at de distribuerede malware gennem offentlige cloud-udbydere. Microsoft siger, at det har koordineret med AWS for at fjerne ondsindede links fra sine cloud-tjenester. Adload er i stand til at åbne en bagdør for at installere andre nyttelaster.
“Når adware er installeret, bruger det annonceindsprøjtningssoftware og -teknikker til at opsnappe en enheds onlinekommunikation og omdirigere brugernes trafik gennem adware-operatørernes servere, injicere annoncer og kampagner i websider og søgeresultater,” Microsoft noter.
“Mere specifikt udnytter Adload et Person-in-The-Middle (PiTM)-angreb ved at installere en web-proxy til at kapre søgemaskineresultater og injicere annoncer på websider og derved overføre annonceindtægter fra officielle webstedsindehavere til adware-operatørerne.”
Microsoft er interesseret i Mac-malware, fordi flere virksomheder understøtter ikke-Windows-enheder på virksomhedsnetværk. Det opmuntrer forsvarere til at bruge sin Edge-browser på macOS, da den understøtter Microsofts Defender SmartScreen til at blokere ondsindede websteder.
I mellemtiden kan Microsofts Defender for Endpoint virksomhedssikkerhedsplatform bruges til at opdage UpdateAgents misbrug af Apples PlistBuddy-værktøj til at administrere PLIST-attributfiler (egenskabsliste) til macOS-applikationer.
Sikkerhed
Usikret AWS-server afsløret 3TB i lufthavnsmedarbejdernes optegnelser Sådan finder og fjerner du spyware fra din telefon Microsoft: Sådan stoppede vi det største DDoS-angreb nogensinde Den bedste antivirussoftware og apps: Hold din pc, telefon, tablet sikker Sådan er teknologi et våben i moderne misbrug i hjemmet Sikkerheds-tv | Datastyring | CXO | Datacentre