UpdateAgentマルウェア

UpdateAgentは、Macデバイスを標的とするトロイの木馬の脅威です。この脅威となるソフトウェアは2020年9月に初めて登場し、比較的単純な情報スティーラーの機能を備えていました。しかし、それ以来、脅威の背後にあるサイバー犯罪者はそれを開発していますますます高度なマルウェア機能を追加することにより、継続的に。最新のUpdateAgentバリアントは、はるかに焦点を絞った洗練された動作を備えた洗練されたトロイの木馬になりました。

UpdateAgentの脅威に関する詳細は、Microsoft 365 Defender Threat IntelligenceTeamによるレポートで公開されました。専門家は、脅威の進化とそれが含まれている複数の有害なキャンペーンを追跡してきました。彼らの調査結果によると、UpdateAgentはまだ活発に開発中であり、追加の悪意のある機能が引き続き装備されている可能性があります。

配布と機能

UpdateAgentは、ドライブバイダウンロードまたは不正な広告ポップアップを介して拡散している可能性が高く、ビデオアプリケーションやサポートエージェントなどの正当なソフトウェア製品を対象としていると主張していますが、実際にはトロイの木馬の脅威をもたらしています。実際の製品になりすましたり、正規のソフトウェアと一緒にバンドルされたりすると、UpddateAgentがユーザーのMacシステムに侵入する可能性が高くなります。

デバイスにデプロイされると、UpdateAgentはさまざまなデータ型の収集を開始し、それらをコマンドアンドコントロール（C2、C＆C）サーバーに送信します。 infostealerアクティビティとは別に、脅威の最新バージョンは、既存のユーザー権限を利用して、残りの証拠を削除してそのトラックをカバーする前に、侵入的なアクションを実行できます。こっそり。このトロイの木馬に追加された最も洗練された機能の1つは、ゲートキーパーのセキュリティプロトコルをバイパスする機能です。これは、潜在的なマルウェアの脅威を阻止するために、コード署名とダウンロードしたアプリの検証を実行する機能を備えた組み込みのmacOS機能です。

追加のペイロード

2021年10月に行われた攻撃キャンペーンで、infosecの研究者は、UpdateAgentが感染したシステムに第2段階のペイロードをフェッチして展開するのを観察しました。このトロイの木馬は、厄介なAdLoadアドウェアファミリーに属する亜種をドロップしました。 AdLoadは主に不要な広告を挿入してユーザーに表示することを任務としていますが、サイバー犯罪者はUpdateAgentを利用して、ランサムウェアなど、他のはるかに脅威的なペイロードをドロップできます。 UpdateAgentによってデプロイされた第2ステージのペイロードは、AmazonS3とCloudFrontによって提供されるパブリッククラウドインフラストラクチャでホストされていたことに注意してください。 Microsoftが調査結果をAmazonWeb Servicesと共有した後、安全でないURLは削除されました。