Microsoft augura que el troyano UpdateAgent continuará «mejorando» en Mac
800 Noticias
Microsoft cree que el troyano conocido como UpdateAgent, que afecta a dispositivos con sistema operativo macOS de Apple, continuará «mejorando su nivel de sofisticación en los próximos meses», según los análisis que ha realizado para valorar su evolución desde septiembre de 2020 hasta octubre de 2021.
«Al analizar la infraestructura de UpdateAgent […] descubrimos dominios adicionales con cargas útiles. Esto indica que el troyano aún se encuentra en la etapa de desarrollo y es probable que agregue o modifique sus capacidades en futuras actualizaciones», ha expresado la compañía en su blog.
UpdateAgent es un troyano capaz de invadir los equipos con sistema operativo macOS de Apple haciéndose pasar por un ‘software’ legítimo a través de descargas ocultas o ventanas emergentes.
Una de las técnicas más avanzadas y que ha desarrollado recientemente este ‘malware’ es la capacidad de eludir el sistema de control Gatekeeper, que garantiza que en el equipo solo se ejecute ‘software’ de confianza.
Así, una vez instalado, se aprovecha de las funcionalidades del dispositivo Mac, roba información confidencial del sistema -que después envía a su servidor de comando y control (C2)- y distribuye un ‘payload’ secundario que contiene ‘adware’.
El troyano puede hacerse con el control de los permisos del usuario para realizar actividades maliciosas y borrar las pruebas después de su intromisión para que parezca que no ha manipulado nada.
También hace uso indebido de la infraestructura de la nube pública de los servicios de almacenamiento seguro Amazon S3 y CloudFront, para alojar cargas útiles adicionales. Con el fin de acabar con este tipo de acciones fraudulentas, Microsoft ha informado a Amazon Web Services, que ha retirado las URL maliciosas que contienen UpdateAgent.
NACIÓ COMO UN ‘MALWARE’ SENCILLO
La evolución de este troyano desde septiembre de 2020 hasta octubre de 2021 demuestra que el desarrollador de este ‘malware’ ha mejorado sus funciones iniciales y ha añadido nuevas capacidades y técnicas.
La versión inicial de UpdateAgent era básica: un ‘malware’ capaz de realizar reconocimiento y recopilación de información del sistema, como nombres o versiones del producto. Una vez dentro del dispositivo infectado, enviaba los datos a su servidor C2.
Meses después, entre enero y febrero de 2021, Microsoft comprobó cómo el troyano presentaba una nueva capacidad para obtener cargas útiles secundarias, como archivos con la extensión .dmg -contenedores de aplicaciones en macOS-, desde la infraestructura de la nube pública. Con esta intervención, el troyano tiene el control para instalar programas adicionales en los equipos.
En la tercera actualización de UpdateAgent, el ‘malware’ modificó una de sus funciones anteriores, para obtener cargas útiles secundarias con archivos con extensión .zip. También en esta nueva versión se pudo comprobar su capacidad para omitir Gatekeeper y enumerar LSQuarantineDataURLString, utilizando SQLite para validar si el troyano se encuentra entre los archivos en cuarentena.
El aprovechamiento de los perfiles de usuario existentes para ejecutar comandos y crear y editar archivos con la extensión .PLIST -que incluyen información sobre la configuración y las propiedades de programas del ecosistema de Apple- fueron otras de las funciones adquiridas en esta iteración.
RECOMENDACIONES DE SEGURIDAD
Con el fin de intentar frenar la expansión de UpdateAgent, Microsoft ha fomentado el uso de Microsoft Edge u otros navegadores web que admitan Microsoft Defender SmartScreen, que identifica y bloquea webs maliciosas.
Asimismo, ha aconsejado restringir el acceso a recursos personales como las carpetas LaunchDaemons o LaunchAgents, que se cargan cuando el usuario inicia sesión en Mac, a través de las soluciones de gestión empresarial nativas del sistema operaitvo OS X.
Por último, ha instado a los usuarios a descargar aplicaciones seguras, ejecutar la última versión de sus sistemas operativos e implementar las últimas actualizaciones de seguridad en cuanto estas estén disponibles
Con información de PortalTic.