Il malware per Mac conosciuto come UpdateAgent si sta diffondendo da più di un anno, e sta diventando sempre più malevolo man mano che i suoi sviluppatori aggiungono nuove peculiarità. Le novità di codice includono la spinta di un payload adware aggressivo di secondo stadio che installa una backdoor persistente sui Mac infetti.

La famiglia di malware UpdateAgent ha iniziato a circolare non più tardi di novembre o dicembre 2020 come un “ladro” di informazioni relativamente basico. Ha raccolto nomi di prodotti, numeri di versione e altre informazioni di base sul sistema. I suoi metodi di persistenza – cioè la capacità di essere eseguito ogni volta che un Mac si avvia – sono anche abbastanza rudimentali e questo la dice lunga su come sia stato non troppo difficile implementarlo.

E’ proprio Microsoft ad aver sostenuto che UpdateAgent è diventato sempre più avanzato. Oltre ai dati inviati al server dell’attaccante, l’applicazione invia anche “battiti cardiaci” che permettono di sapere se il malware è ancora in esecuzione ed installa anche un adware noto come Adload.

Hanno scritto i ricercatori di Microsoft:

Una volta che l’adware è installato, utilizza software e tecniche di iniezione pubblicitaria per intercettare le comunicazioni online di un dispositivo e reindirizzare il traffico degli utenti attraverso i server degli operatori adware, iniettando pubblicità e promozioni nelle pagine web e nei risultati di ricerca. Più specificamente, Adload sfrutta un attacco Person-in-The-Middle (PiTM) installando un proxy web per dirottare i risultati dei motori di ricerca e iniettare pubblicità nelle pagine web, smistando in questo modo le entrate pubblicitarie dai titolari dei siti ufficiali agli operatori di adware.

Adload è anche un ceppo insolitamente persistente di adware. È in grado di aprire una backdoor per scaricare e installare altri adware e payload, oltre a raccogliere informazioni di sistema che vengono inviate ai server C2 degli aggressori. Considerando che sia UpdateAgent che Adload hanno la capacità di installare ulteriori payload, gli aggressori possono sfruttare uno o entrambi i vettori per fornire potenzialmente minacce più pericolose ai sistemi di destinazione nelle campagne future.

Prima di installare l’adware, UpdateAgent ora rimuove un flag che un meccanismo di sicurezza di macOS chiamato Gatekeeper aggiunge ai file scaricati. (Gatekeeper assicura che gli utenti ricevano un avviso che il nuovo software proviene da Internet, e garantisce anche che il software non corrisponda a ceppi di malware noti). Mentre questa capacità dannosa non è nuova – un malware macOS del 2017 ha fatto la stessa cosa – la sua inclusione in UpdateAgent indica che il malware è in regolare sviluppo.

La ricognizione di UpdateAgent è stata ampliata per raccogliere il profilo del sistema e i dati di tipo SPHardware, che, tra le altre cose, rivela il numero di serie di un Mac. Il malware ha anche iniziato a modificare la cartella LaunchDaemon invece della cartella LaunchAgent come prima. Mentre la modifica richiede che UpdateAgent venga eseguito come amministratore, si permette al trojan di iniettare codice persistente che viene eseguito come root.