UpdateAgent 木馬程式在 macOS 會下載惡意檔案至電腦上並竊取機敏資訊

風險等級: 高度威脅
摘 要: 病毒通告:
UpdateAgent 木馬程式在 macOS 會下載惡意檔案至電腦上並竊取機敏資訊,請勿點選或開啟任何可疑的檔案並提高警覺!
解決辦法: 1.使用Microsoft Edge(可在 macOS 和各種平台上使用)或其他支持Microsoft Defender SmartScreen的Web 瀏覽器,它可以識別和阻止惡意網站,包括網路釣魚網站、詐騙網站以及包含弱點利用和託管惡意軟體的網站。
2.通過 OSX 企業管理解決方案限制對特權資源的存取,例如LaunchDaemons或LaunchAgents檔案夾和 sudoers 檔案。這有助於減輕常見持久性和特權升級技術。
3.僅從受信任的來源安裝應用程式,例如軟體平台的官方應用商店。第三方來源可能對其託管的應用程式有寬鬆的標準,從而允許惡意行為者上傳和分發惡意軟體。
4.運行最新版本的操作系統和應用程式。最新的安全更新可有效防範。
細節描述: 微軟(Microsoft)旗下資安研究團隊 Microsoft 365 Defender Threat Intelligence近期釋出了一份木馬病毒威脅報告,一支名為「UpdateAgent」的木馬病毒會針對 macOS 進行攻擊。UpdateAgent 會試圖滲透至Mac 電腦中以竊取用戶的機密資訊;另外 UpdateAgent 也會與其他惡意軟體串連,從而增加 Mac 多次受病毒感染的機會。

微軟指出,UpdateAgent 的感染途徑是透過網頁彈出式廣告,或是網頁下載等方式來進入 Mac用戶的電腦;這支病毒會夾雜在假冒的影片應用程式,或是綑綁在貌似安全、合法的軟體當中,藉此來誘騙用戶下載。一旦用戶下載安裝了這些應用程式,UpdateAgent 就會立即開始收集 Mac 當中的系統資訊,並將用戶數據傳送到其命令與控制C2伺服器當中。

UpdateAgent 採用以下步驟來感染設備:

名為 HelperModule.zip 的 .zip 檔案使用特定檔案路徑 – /Library/Application Support/xxx/xxx 下載並安裝 UpdateAgent。此 .zip 檔案安裝在 /Library/Application Support/Helper/HelperModule 中。
UpdateAgent 收集有關受影響設備的操作系統和硬體資訊。一旦受影響的設備連線到 C2 伺服器,木馬就會使用 curl請求將此數據發送到 C2 伺服器。
成功連接後,UpdateAgent 會請求輔助負載,通常是 .dmg 或 .zip 檔案,該檔案託管在CloudFront 。
輔助負載下載後,UpdateAgent 使用 xattr 命令 – /usr/bin/xattr -rc /tmp/setup.dmg刪除下載檔案的隔離屬性並繞過 Gatekeeper 控制。
UpdateAgent 會提取輔助負載(.dmg 或.zip)。安裝檔案後,它會解壓縮有效檔案並將其複製到臨時檔案夾,分配可執行權限並啟動這些檔案。 UpdateAgent 還使用PlistBuddy 在 LaunchAgent 檔案夾下創建 PLIST 檔案,以通過系統重新啟動保持持久性。
UpdateAgent 通過刪除輔助負載、臨時檔案夾、PLIST 檔案和所有其他下載的工件來刪除證據。

參考資訊: microsoft