Microsoft: вредоносная программа WizardUpdate для Mac добавляет новую тактику уклонения

50
Microsoft исправляет недостаток Defender, позволяющий хакерам обходить антивирусные сканирования

Microsoft заявляет, что обнаружила новые варианты вредоносного ПО для macOS, известное как WizardUpdate (также отслеживаемое как UpdateAgent или Vigram), обновленное для использования новой тактики уклонения и сохранения.

Как выяснили эксперты по безопасности Microsoft, последний вариант, обнаруженный ранее в этом месяце, скорее всего, распространяется посредством попутных загрузок и выдает себя за законное программное обеспечение, как это было, когда в январе компания по анализу угроз Confiant  обнаружила, что он замаскирован под установщики Flash.

Поскольку первые варианты наблюдались в ноябре 2020 года, когда он был способен только собирать и извлекать системную информацию, WizardUpdate неоднократно обновлялся его разработчиками.

Образец, собранный исследователями Microsoft в октябре, содержит несколько обновлений, в том числе:

  • развертывать вторичные полезные нагрузки, загруженные из облачной инфраструктуры
  • получить полную историю загрузок для зараженных компьютеров Mac, перечислив LSQuarantineDataURLString с помощью SQLite 
  • обходить Gatekeeper, удаляя атрибуты карантина из загруженных полезных данных
  • изменять файлы PLIST с помощью PlistBuddy
  • использовать существующие профили пользователей для выполнения команд
  • измените список sudoers, чтобы предоставить права администратора обычным пользователям

После заражения компьютера Mac вредоносная программа начинает сканирование и сбор системной информации, которая отправляется на ее командно-управляющий (C2) сервер.

Троян будет развертывать вредоносные программы второго уровня, в том числе вариант вредоносного ПО, отслеживаемый как Adload, активный с конца 2017 года и известный тем, что может проскользнуть через встроенный антивирус XProtect на основе сигнатур Apple YARA для заражения компьютеров Mac.

«Агент UpdateAgent злоупотребляет инфраструктурой общедоступного облака для размещения дополнительных полезных нагрузок и пытается обойти Gatekeeper, который предназначен для обеспечения работы только доверенных приложений на устройствах Mac, путем удаления атрибута карантина загруженного файла», — заявили в Microsoft .

«Он также использует существующие разрешения пользователей для создания папок на пораженном устройстве. Он использует PlistBuddy для создания и изменения списков в LaunchAgent / LaunchDeamon для сохранения».

Разработчики WizardUpdate также включили в последний вариант функции уклонения, которые могут замести следы, удаляя созданные папки, файлы и другие артефакты, созданные на зараженных компьютерах Mac.

Вредоносное ПО на Mac «хуже iOS»

AdLoad, одна из полезных нагрузок второго уровня, предоставляемых WizardUpdate на скомпрометированных компьютерах Mac, также захватывает результаты поисковых систем и внедряет рекламу на веб-страницы для получения денежной выгоды с помощью веб-прокси Man-in-The-Middle (MiTM).

Он также становится устойчивым за счет добавления агентов LaunchAgents и LaunchDaemons и, в некоторых случаях, пользовательских cronjobs, запускаемых каждые два с половиной часа.

Во время мониторинга кампаний AdLoad, активных с ноября 2020 года, когда WizardUpdate также был впервые обнаружен, исследователь угроз SentinelOne Фил Стоукс обнаружил сотни образцов , примерно 150 из которых уникальны и не обнаруживаются встроенным антивирусом Apple.

Многие из образцов, обнаруженных Стоуксом, также были подписаны действительными сертификатами идентификатора разработчика, выпущенными Apple, в то время как другие были нотариально заверены для запуска с настройками гейткипера по умолчанию .

Хотя и WizardUpdate, и AdLoad теперь развертывают только рекламное ПО и пакетное ПО в качестве дополнительных полезных нагрузок, они могут в любой момент переключиться на более опасные вредоносные программы, такие как очистители или программы-вымогатели.

«Сегодня у нас есть уровень вредоносного ПО на Mac, который мы не считаем приемлемым и который намного хуже, чем iOS», — сказал Крейг Федериги, глава отдела программного обеспечения Apple, в мае 2021 года под присягой, давая показания в Epic Games vs. Пробная версия Apple.

Последнее обновление 10 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии