UpdateAgent, diğer adıyla WizardUpdate adlı bir Mac Truva Atı’nın en son sürümü, bazı tehdit aktörlerinin Apple teknolojilerini hedeflemek için harcadıkları artan çabanın yeni kanıtlarını sunuyor.
Destek aracıları ve video yazılımı gibi meşru yazılımların kimliğine bürünen kötü amaçlı yazılım, ilk olarak Eylül 2020’de ortaya çıktı. Genellikle reklamlar için doğrudan indirmeler veya açılır pencereler aracılığıyla ve uzun süredir durdurulan Adobe Flash Player gibi araçlar için sahte güncellemeler yoluyla dağıtılır. . İlk ortaya çıktığından beri, UpdateAgent’ın yazarları onu sürekli olarak önemli yeni işlevlerle güncelledi. Ekim ayındaki en son güncelleme bir istisna değildi.
Microsoft’tan araştırmacılar, en son varyantı analiz ettiler ve bunun, Amazon S3 ve CloudFront gibi güvenilir genel bulut altyapılarında barındırılan ikincil yükleri kurmak için genişletilmiş bir yetenek içerdiğini buldular. Daha önce olduğu gibi ek yükleri getirmek için .zip dosyaları veya takılabilir disk görüntüleri (DMG dosyaları) kullanmak yerine, UpdateAgent’ın yeni sürümü artık her iki dosya türünü de kullanabilir.
Ekim sürümüyle birlikte, UpdateAgent’ın ikincil yükleri artık Mac’lerde potansiyel olarak istenmeyen uygulamaları ve reklam yükleyicileri yüklemek için oldukça kalıcı bir Truva atı olan Adload’ı da içeriyor. 100’den fazla benzersiz örneği bulunan kötü amaçlı yazılım, onu her zaman koruyan güncellemeler için dikkate değerdir. bir adım önde Apple’ın yerleşik XProtect kötü amaçlı yazılımdan koruma teknolojisi ve diğer güvenlik denetimleri.
Microsoft’un analizi, en son yükseltmelerle kötü amaçlı yazılımın, tipik olarak daha yüksek güvenlik ve yönetici ayrıcalıkları gerektiren komutları yürütmek için bir kullanıcının mevcut profilinden yararlanabileceğini gösterdi. Buna ek olarak, UpdateAgent, tespit edilmekten kaçınırken güvenliği ihlal edilmiş sistemlerde kalıcılığı koruma becerisinde ince ayar yaptı.
UpdateAgent/WizardUpdate’in Ekim sürümü, beşinci yinelemesidir. Eylül 2020’deki ilki basitti ve kurulu olduğu cihaz hakkında temel bilgileri toplamak ve uzak bir komuta ve kontrol (C2) sunucusuyla iletişimde kalmak için tasarlandı. Sonraki birkaç sürümde, kötü amaçlı yazılımın yazarları, ikincil yükleri almak, kalıcılığı korumak ve daha da önemlisi, bir Mac’te yalnızca güvenilir yazılımın çalışabilmesini sağlamak için bir macOS teknolojisi olan Gatekeeper’ı atlamak için özellikler ekledi.
Bu süreçte, kötü amaçlı yazılım biraz ilkel bir bilgi hırsızından Microsoft’un bu haftaki haline geldi. tarif macOS çalıştıran sistemlerde reklam yazılımı yükleyicileri ve diğer potansiyel olarak daha tehlikeli yükleri dağıtmak için geliştirilmiş bir araç olarak.
Çok çeşitli Mac kötü amaçlı yazılımlarını izleyen SentinelOne güvenlik araştırmacısı Phil Stokes, “WizardUpdate birkaç sürprizle sahneye çıktı” diyor. “Apple’ı kötü amaçlı yazılımlarını noter tasdik etmesi için nasıl kandıracaklarını erkenden öğrendiler ve C2 trafiğini normal trafiğe karıştırmak için AWS’yi ve diğer genel bulut depolarını akıllıca kullandılar.”
Yazarları ayrıca, normalde sınıf ortamı dışında hiç kimse tarafından uygulanmayan Vigenere şifresi adı verilen çok basit bir şifreleme şemasını biraz ilgi çekici bir şekilde seçmeleriyle de dikkat çekiciydi.
Stokes, UpdateAgent/WizardUpdate’i Mac’ler için kalabalık reklam yazılımı/paket yazılımı dağıtım platformu pazarında nispeten yeni bir oyuncu olarak tanımlıyor. Geçen yıl Jamf tarafından yürütülen araştırma, reklam yazılımlarının Mac kullanıcıları için diğer kötü amaçlı yazılım türlerinden çok daha büyük bir tehdit olmaya devam ettiğini gösterdi. Şirket, çalışma sırasında Mac kullanıcılarına yönelik ilk 10 tehdidin tamamının reklam yazılımlarıyla ilgili olduğunu tespit etti.
Benzer şekilde, UpdateAgent/WizardUpdate’in yazarları, büyük olasılıkla vicdansız geliştiricilere ve reklam yazılımı yükleyicilerine bir “yükleme başına ödeme” hizmeti satıyor, diyor Stokes.
UpdateAgent’ı rakiplerinden ayıran özel bir şey olmamasına rağmen, yazarlarının bir izlenim bırakmaya kararlı göründüğünü söylüyor.
Stokes, “Korunmasız Mac kullanıcılarına bulaşmada başarılı olduğu sürece, bir süre daha olacağından eminiz” diyor.
Kötü Amaçlı Reklam Kampanyaları Pazarı Canlandırıyor
Web sitelerinde istenmeyen reklamları tespit etmek ve engellemek için teknoloji sağlayan Confiant’ın kurucu ortağı ve CTO’su Jerome Dangu, UpdateAgent gibi kötü amaçlı yazılımların bir parçası olduğu yükleme için ödeme yapan siber suçların yakıtı büyük ölçekli kötü niyetli reklam kampanyaları olduğunu söylüyor. Bu tür kötü amaçlı yazılımların yazarları sürekli olarak Apple’dan bir adım önde olmaya çalışıyor.
“Yüksek düzeyde, bu, Apple’ın uygulama güvenliğine yönelik uygulamalı yaklaşımı ile onu atlamak için sürekli yinelenen bu karmaşık saldırganlar arasında bir kedi-fare oyunudur” diyor. Dangu, reklam yazılımlarının ana motivasyon kaynağı olmasına rağmen, gelecekte işletmelerde saldırıların çok daha yüksek şiddetteki saldırılara dönüşme potansiyeli olduğuna dikkat çekiyor.
İki kötü amaçlı yazılım tehdidi yakın zamanda analiz edildi SentinelOne tarafından hazırlanan, bazı saldırganların Mac’leri hedeflemeye geldiğinde reklam yazılımlarının ötesine geçtiğini gösteriyor. Kötü amaçlı yazılım örneklerinden biri, Mac sistemlerinde uzaktan erişilebilir bir arka kapı olarak hizmet vermek üzere tasarlanmış görünen SysJoker adlı bir çapraz platform aracıdır. Diğerinin adı DazzleSpy; dosyaları aramasına ve yazmasına, sistem ve diğer ortam bilgilerini sızdırmasına ve uzak masaüstü ve kabuk komutlarını çalıştırmasına izin veren işlevlere sahiptir.
Stokes, “Hedeflenen macOS kötü amaçlı yazılımları, genellikle casus yazılımlar, giderek Asyalı kullanıcıları hedef alıyor ve giderek daha fazla platformlar arası kampanyaların bir parçası oluyor” diyor.