Microsoft hôm thứ Tư đã làm sáng tỏ một trojan Mac không có giấy tờ trước đây mà họ cho biết đã trải qua một số lần lặp lại kể từ lần đầu tiên xuất hiện vào tháng 9 năm 2020, mang lại hiệu quả cho nó “sự phát triển ngày càng tăng của các khả năng tinh vi.”
Nhóm thông minh về mối đe dọa trong bộ bảo vệ Microsoft 365 của công ty được mệnh danh là họ phần mềm độc hại mới “UpdateAgent“biểu đồ sự phát triển của nó từ một kẻ đánh cắp thông tin trần trụi thành một nhà phân phối trọng tải giai đoạn hai như một phần của nhiều đợt tấn công được quan sát vào năm 2021.
Các nhà nghiên cứu cho biết: “Chiến dịch mới nhất đã chứng kiến phần mềm độc hại cài đặt phần mềm quảng cáo Adload lẩn tránh và dai dẳng, nhưng khả năng truy cập vào thiết bị của UpdateAgent về mặt lý thuyết có thể được tận dụng hơn nữa để tìm nạp các tải trọng khác, có khả năng nguy hiểm hơn”, các nhà nghiên cứu cho biết.
Phần mềm độc hại đang phát triển tích cực được cho là lây lan thông qua các lượt tải xuống theo ổ đĩa hoặc cửa sổ bật lên quảng cáo giả dạng phần mềm hợp pháp như ứng dụng video và tác nhân hỗ trợ, ngay cả khi các tác giả đã thực hiện các cải tiến ổn định đã biến UpdateAgent thành một phần liên tục bền bỉ phần mềm độc hại.
Đứng đầu trong số các cải tiến bao gồm khả năng lạm dụng quyền người dùng hiện có để lén lút thực hiện các hoạt động độc hại và phá vỡ các kiểm soát của macOS Gatekeeper, một tính năng bảo mật đảm bảo chỉ các ứng dụng đáng tin cậy từ các nhà phát triển đã xác định mới có thể được cài đặt trên hệ thống.
Ngoài ra, UpdateAgent còn được phát hiện là đã tận dụng cơ sở hạ tầng đám mây công cộng, cụ thể là các dịch vụ Amazon S3 và CloudFront, để lưu trữ các tải trọng giai đoạn hai của nó, bao gồm cả phần mềm quảng cáo, ở dạng tệp .DMG hoặc .ZIP.
Sau khi được cài đặt, phần mềm độc hại Adload sử dụng phần mềm chèn quảng cáo và kỹ thuật man-in-the-middle (MitM) để chặn và định tuyến lại lưu lượng truy cập internet của người dùng thông qua máy chủ của kẻ tấn công để chèn quảng cáo lừa đảo vào các trang web và kết quả của công cụ tìm kiếm nhằm tăng khả năng nhiễm trùng trên các thiết bị.
Các nhà nghiên cứu cảnh báo: “UpdateAgent có đặc điểm độc đáo là nâng cấp dần các kỹ thuật bền bỉ, một đặc điểm chính cho thấy trojan này có thể sẽ tiếp tục sử dụng các kỹ thuật phức tạp hơn trong các chiến dịch trong tương lai,” các nhà nghiên cứu cảnh báo.
.
