Malware Mac connu comme UpdateAgent se répand depuis plus d’un an, et il devient de plus en plus malveillant à mesure que ses développeurs ajoutent de nouvelles cloches et sifflets. Les ajouts incluent la poussée d’une charge utile de logiciel publicitaire agressive de deuxième étape qui installe une porte dérobée persistante sur les Mac infectés.
La famille de logiciels malveillants UpdateAgent a commencé à circuler au plus tard en novembre ou décembre 2020 en tant que voleur d’informations relativement basique. Il collectait les noms de produits, les numéros de version et d’autres informations système de base. Ses méthodes de persistance, c’est-à-dire la possibilité de s’exécuter à chaque démarrage d’un Mac, étaient également assez rudimentaires.
Attaque de personne du milieu
Au fil du temps, a déclaré Microsoft mercredi, UpdateAgent est devenu de plus en plus avancé. Outre les données envoyées au serveur de l’attaquant, l’application envoie également des « battements de cœur » qui permettent aux attaquants de savoir si le logiciel malveillant est toujours en cours d’exécution. Il installe également un logiciel publicitaire appelé Adload.
Les chercheurs de Microsoft ont écrit :
Une fois le logiciel publicitaire installé, il utilise un logiciel et des techniques d’injection de publicités pour intercepter les communications en ligne d’un appareil et rediriger le trafic des utilisateurs via les serveurs des opérateurs de logiciels publicitaires, en injectant des publicités et des promotions dans les pages Web et les résultats de recherche. Plus précisément, Adload exploite une attaque Person-in-The-Middle (PiTM) en installant un proxy Web pour détourner les résultats des moteurs de recherche et injecter des publicités dans les pages Web, siphonnant ainsi les revenus publicitaires des détenteurs de sites Web officiels vers les opérateurs de logiciels publicitaires.
Adload est également une souche de logiciel publicitaire exceptionnellement persistante. Il est capable d’ouvrir une porte dérobée pour télécharger et installer d’autres logiciels publicitaires et charges utiles en plus de collecter les informations système qui sont envoyées aux serveurs C2 des attaquants. Étant donné que UpdateAgent et Adload ont la capacité d’installer des charges utiles supplémentaires, les attaquants peuvent exploiter l’un ou l’autre de ces vecteurs ou les deux pour fournir potentiellement des menaces plus dangereuses aux systèmes cibles lors de futures campagnes.
Avant d’installer le logiciel publicitaire, UpdateAgent supprime désormais un indicateur qu’un mécanisme de sécurité macOS appelé Gatekeeper ajoute aux fichiers téléchargés. (Gatekeeper s’assure que les utilisateurs reçoivent un avertissement indiquant qu’un nouveau logiciel provient d’Internet, et il garantit également que le logiciel ne correspond pas aux souches de logiciels malveillants connues.) Bien que cette capacité malveillante ne soit pas nouvelle – les logiciels malveillants Mac de 2017 ont fait la même chose – son incorporation dans UpdateAgent indique que le logiciel malveillant est en cours de développement régulier.
La reconnaissance d’UpdateAgent a été étendue pour collecter le profil système et les données SPHardwaretype, qui, entre autres, révèlent le numéro de série d’un Mac. Le logiciel malveillant a également commencé à modifier le dossier LaunchDaemon au lieu du dossier LaunchAgent comme auparavant. Bien que le changement nécessite que UpdateAgent s’exécute en tant qu’administrateur, le changement permet au cheval de Troie d’injecter du code persistant qui s’exécute en tant que root.
La chronologie suivante illustre l’évolution.