lundi, décembre 23, 2024

Un logiciel malveillant Mac se propageant pendant environ 14 mois installe une porte dérobée sur les systèmes infectés

Le malware Mac connu sous le nom de UpdateAgent se propage depuis plus d’un an, et il devient de plus en plus malveillant à mesure que ses développeurs ajoutent de nouvelles cloches et sifflets. Les ajouts incluent la poussée d’une charge utile de logiciel publicitaire agressif de deuxième étape qui installe une porte dérobée persistante sur les Mac infectés.

La famille de logiciels malveillants UpdateAgent a commencé à circuler au plus tard en novembre ou décembre 2020 en tant que voleur d’informations relativement basique. Il collectait les noms de produits, les numéros de version et d’autres informations système de base. Ses méthodes de persistance, c’est-à-dire la possibilité de s’exécuter à chaque démarrage d’un Mac, étaient également assez rudimentaires.

Attaque de la personne du milieu

Au fil du temps, a déclaré Microsoft mercredi, UpdateAgent est devenu de plus en plus avancé. Outre les données envoyées au serveur de l’attaquant, l’application envoie également des « pulsations » qui permettent aux attaquants de savoir si le logiciel malveillant est toujours en cours d’exécution. Il installe également un logiciel publicitaire appelé Adload.

Les chercheurs de Microsoft ont écrit :

Une fois le logiciel publicitaire installé, il utilise un logiciel et des techniques d’injection de publicités pour intercepter les communications en ligne d’un appareil et rediriger le trafic des utilisateurs via les serveurs des opérateurs de logiciels publicitaires, en injectant des publicités et des promotions dans les pages Web et les résultats de recherche. Plus précisément, Adload exploite une attaque Person-in-The-Middle (PiTM) en installant un proxy Web pour détourner les résultats des moteurs de recherche et injecter des publicités dans les pages Web, siphonnant ainsi les revenus publicitaires des détenteurs de sites Web officiels vers les opérateurs de logiciels publicitaires.

Adload est également une souche de logiciel publicitaire exceptionnellement persistante. Il est capable d’ouvrir une porte dérobée pour télécharger et installer d’autres logiciels publicitaires et charges utiles en plus de collecter les informations système qui sont envoyées aux serveurs C2 des attaquants. Étant donné que UpdateAgent et Adload ont la capacité d’installer des charges utiles supplémentaires, les attaquants peuvent exploiter l’un ou l’autre de ces vecteurs ou les deux pour fournir potentiellement des menaces plus dangereuses aux systèmes cibles lors de futures campagnes.

Avant d’installer le logiciel publicitaire, UpdateAgent supprime désormais un indicateur qu’un mécanisme de sécurité macOS appelé Gatekeeper ajoute aux fichiers téléchargés. (Gatekeeper garantit que les utilisateurs reçoivent un avertissement indiquant qu’un nouveau logiciel provient d’Internet, et il garantit également que le logiciel ne correspond pas aux souches de logiciels malveillants connues.) Bien que cette capacité malveillante ne soit pas nouvelle, les logiciels malveillants Mac de 2017 ont fait la même chose : son incorporation dans UpdateAgent indique que le logiciel malveillant est en cours de développement régulier.

La reconnaissance d’UpdateAgent a été étendue pour collecter le profil système et les données SPHardwaretype, qui, entre autres, révèlent le numéro de série d’un Mac. Le logiciel malveillant a également commencé à modifier le dossier LaunchDaemon au lieu du dossier LaunchAgent comme auparavant. Bien que le changement nécessite que UpdateAgent s’exécute en tant qu’administrateur, le changement permet au cheval de Troie d’injecter du code persistant qui s’exécute en tant que root.

La chronologie suivante illustre l’évolution.

Microsoft

Une fois installé, le logiciel malveillant collecte les informations système et les envoie au serveur de contrôle des attaquants et entreprend une foule d’autres actions. La chaîne d’attaque du dernier exploit ressemble à ceci :

Microsoft

Microsoft a déclaré que UpdateAgent se faisait passer pour un logiciel légitime, tel que des applications vidéo ou des agents de support, qui se propageait par le biais de pop-ups ou de publicités sur des sites Web piratés ou malveillants. Microsoft ne l’a pas dit explicitement, mais les utilisateurs doivent apparemment être amenés à installer UpdateAgent, et pendant ce processus, Gatekeeper fonctionne comme prévu.

À bien des égards, l’évolution d’UpdateAgent est un microcosme pour le paysage des logiciels malveillants macOS dans son ensemble : les logiciels malveillants continuent de devenir plus avancés. Les utilisateurs de Mac doivent apprendre à repérer les leurres d’ingénierie sociale, tels que les fenêtres contextuelles non sollicitées apparaissant dans les fenêtres du navigateur qui avertissent des infections ou des logiciels non corrigés.

Source-147

- Advertisement -

Latest