UpdateAgent es el nombre de un troyano para Mac que Microsoft ha estado rastreando desde octubreaunque la compañía dice que apareció por primera vez en septiembre de 2020.
Agente de actualización
UpdateAgent comenzó como una pieza básica de malware que robaba información. Pero ha evolucionado para distribuir cargas útiles secundarias en una máquina, como Adload adware. Hay dos variantes de este troyano y Microsoft cree que aún se encuentra en etapa de desarrollo. Es probable que lleguen actualizaciones en el futuro que podrían agregarle más capacidades.
UpdateAgent puede hacerse pasar por software legítimo y puede utilizar varias funcionalidades de dispositivos Mac. Puede evitar Gatekeeper que Apple creó para garantizar que solo se puedan ejecutar aplicaciones confiables en Mac. El malware puede hacer uso de los permisos de usuario existentes para realizar actividades en segundo plano y eliminar la evidencia posteriormente. UpdateAgent también puede utilizar servicios de nube pública como Amazon S3 y CloudFront para alojar sus cargas maliciosas. Microsoft alertó a Amazon, que eliminó las URL maliciosas de su plataforma.
Debido a sus capacidades de imitación, es probable que las personas se infecten mediante “descargas no autorizadas” o ventanas emergentes de anuncios. Una vez instalado, UpdateAgent comienza a recopilar información del sistema que luego se envía a su servidor de comando y control (C2).
Línea de tiempo
Microsoft ha compartido una línea de tiempo de UpdateAgent;
- Septiembre-diciembre de 2020: La versión inicial de UpdateAgent se consideraba un ladrón de información bastante básico. En ese momento, el malware solo era capaz de realizar reconocimiento para escanear y recopilar información del sistema, como nombres y versiones de productos.
- Enero-febrero de 2021: Aproximadamente dos meses después, UpdateAgent mantuvo sus capacidades originales y agregó una nueva: la capacidad de recuperar cargas útiles secundarias como archivos .dmg desde la infraestructura de nube pública.
- marzo 2021: En su tercera actualización, el malware alteró una de sus funciones anteriores para recuperar cargas útiles secundarias como archivos .zip en lugar de archivos .dmg. El desarrollador del malware también incluyó dos nuevas capacidades: la capacidad de eludir Gatekeeper eliminando el atributo de cuarentena del archivo descargado y la capacidad de crear un archivo PLIST que se agrega a la carpeta LaunchAgent.
- agosto 2021: La cuarta actualización del malware alteró aún más algunas de sus capacidades anteriores. Por un lado, amplió su función de reconocimiento para escanear y recopilar información System_profile y SPHardwaretype.
- octubre 2021: UpdateAgent incluyó la capacidad de enumerar LSQuarantineDataURLString usando SQLite para validar si la aplicación descargada del malware está dentro de la base de datos de Eventos de Cuarentena donde se le asignaría un atributo de cuarentena. La actualización también permitió que el malware aprovechara los perfiles de usuario existentes para ejecutar comandos que requerían acceso sudo, además de la capacidad de agregar argumentos usando PlistBuddy para crear y editar archivos PLIST más fácilmente. Por último, el troyano incluía la capacidad de modificar la lista de sudoers.
La publicación del blog de Microsoft tiene información adicional. La compañía dice que su Defender Antivirus puede detectar UpdateAgent.
