Microsoft ha detallado la evolución de una pieza relativamente nueva de malware para Mac llamada UpdateAgent que comenzó a robar información del sistema a fines de 2020, pero se transformó en una herramienta para distribuir adware y potencialmente otras amenazas.
Una de las características más nuevas y potentes de UpdateAgent es la capacidad de omitir el sistema Gatekeeper integrado de Apple, que está diseñado para permitir que solo las aplicaciones firmadas y confiables se ejecuten en Mac.
Microsoft marcó el malware ahora, ya que parece estar en continuo desarrollo. Hoy, instala una amenaza de adware «inusualmente persistente» llamada Adload, pero Microsoft advierte que podría usarse para distribuir otras cargas útiles más peligrosas en el futuro. Por ejemplo, Microsoft descubrió que sus creadores alojan cargas útiles adicionales en los servicios S3 y CloudFront de Amazon Web Services.
VER: Ciberseguridad: pongámonos tácticos (informe especial de MarketingyPublicidad.es)
Si bien requiere que la víctima instale una aplicación que se hace pasar por software legítimo, como una aplicación de video o un agente de soporte promocionado en ventanas emergentes de anuncios, la capacidad de eludir los controles de Gatekeeper es significativa. También puede usar los permisos de usuario existentes para eliminar la evidencia de su presencia en un sistema.
Desde su descubrimiento entre septiembre y diciembre de 2020, cuando solo era un ladrón de información, el malware ha pasado por varias actualizaciones para mejorar la persistencia, lo que le permite permanecer en un sistema después de que los usuarios inicien sesión en el dispositivo afectado. Para enero de 2021, podría obtener cargas útiles secundarias como archivos .dmg para macOS de proveedores de nube pública.
En marzo de 2021, se actualizó nuevamente para obtener archivos .zip comprimidos en lugar de archivos .dmg y se modificó para evitar que Gatekeeper muestre la advertencia emergente a los usuarios de que un archivo es de un «desarrollador no identificado». Luego, en agosto, se mejoró con cambios que permitieron que el malware inyectara código persistente que se ejecutaba como root en un proceso en segundo plano que es invisible para el usuario.
«UpdateAgent se caracteriza de manera única por su actualización gradual de las técnicas de persistencia, una característica clave que indica que este troyano probablemente continuará usando técnicas más sofisticadas en campañas futuras», dice Microsoft en una publicación de blog, advirtiendo que podría seguir la trayectoria del malware común en Windows. .
«Al igual que muchos ladrones de información que se encuentran en otras plataformas, el malware intenta infiltrarse en las máquinas macOS para robar datos y está asociado con otros tipos de cargas maliciosas, lo que aumenta las posibilidades de múltiples infecciones en un dispositivo».
Los creadores de UpdateAgent comenzaron a distribuir Adload como carga útil secundaria en octubre de 2021 cuando Microsoft planteó una alarma, estaba distribuyendo malware a través de proveedores de nube pública. Microsoft dice que se ha coordinado con AWS para eliminar los enlaces maliciosos de sus servicios en la nube. Adload es capaz de abrir una puerta trasera para instalar otras cargas útiles.
«Una vez que se instala el adware, utiliza software y técnicas de inyección de anuncios para interceptar las comunicaciones en línea de un dispositivo y redirigir el tráfico de los usuarios a través de los servidores de los operadores de adware, inyectando anuncios y promociones en páginas web y resultados de búsqueda», señala Microsoft.
«Más específicamente, Adload aprovecha un ataque Person-in-The-Middle (PiTM) al instalar un proxy web para secuestrar los resultados del motor de búsqueda e inyectar anuncios en las páginas web, desviando así los ingresos publicitarios de los titulares de sitios web oficiales a los operadores de adware».
Microsoft está interesado en el malware de Mac porque más empresas admiten dispositivos que no son de Windows en redes corporativas. Alienta a los defensores a usar su navegador Edge en macOS, ya que es compatible con Defender SmartScreen de Microsoft para bloquear sitios web maliciosos.
Mientras tanto, la plataforma de seguridad empresarial Defender for Endpoint de Microsoft se puede usar para detectar el uso indebido de UpdateAgent de la herramienta PlistBuddy de Apple para administrar archivos de atributos PLIST (lista de propiedades) para aplicaciones macOS.