Se ha reportado una nueva campaña del malware para computadoras Mac “UpdateAgent” que infecta con Adware a las mismas, con una versión del troyano capaz de obtener información del dispositivo, evadir controles de seguridad, entre otros.
La versión inicial del malware UpdateAgent de septiembre de 2020 solo era capaz de realizar un reconocimiento para escanear y recopilar información del sistema, como nombres y versiones de productos. Una vez recopilados, los datos eran enviado servidor C2 del malware.
Sin embargo, la versión actual es capaz de lo anterior y adicionalmente las capacidades listadas a continuación:
- Evadir al Gatekeeper.
- Descargar payloads adicionales, como adware e instalarlos.
- Enumerar la variable LSQuarantineDataURLString para luego removerse de la cuarentena en la que podría ser introducido el malware por parte de las defensas del dispositivo.
- Aprovechar los perfiles de usuario existentes para ejecutar comandos que requieren acceso sudo, además de la capacidad de agregar argumentos utilizando PlistBuddy para crear y editar archivos PLIST más fácilmente.
- Modificar la lista de sudoers, lo que permite al malware omitir un mensaje que requiere credenciales de usuario de alto privilegio mientras ejecuta la aplicación descargada de UpdateAgent.
Se recomienda a los usuarios tomar las siguientes medidas para mitigar esta amenaza:
- Utilizar Microsoft Edge, disponible en macOS y varias plataformas, u otros navegadores web compatibles con Microsoft Defender SmartScreen, que identifica y bloquea sitios web malintencionados, incluidos sitios de phishing, sitios fraudulentos y sitios que contienen exploits y malware de host.
- Restringir el acceso a recursos privilegiados, como carpetas LaunchDaemons o LaunchAgents y archivos sudoers, a través de las soluciones de administración empresarial de OSX. Esto ayuda a mitigar la persistencia común y las técnicas de escalada de privilegios.
- Instalar aplicaciones solo de fuentes confiables, como la tienda de aplicaciones oficial de una plataforma de software. Las fuentes de terceros pueden tener estándares bajos para las aplicaciones que alojan, lo que permite a los actores maliciosos cargar y distribuir malware.
- Ejecutar la versión más reciente de sus sistemas operativos y aplicaciones. Implementar las actualizaciones de seguridad más recientes tan pronto como estén disponibles.
Referencias: