Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Microsoft o trojanie na Mac-a

Kapitan Hack / Cybernews / Microsoft o trojanie na Mac-a

Współczesne złośliwe oprogramowanie jest rozwijane bardzo podobnie do projektów komercyjnych. Deweloperzy dodają nowe funkcjonalności, tworząc „produkty” coraz bardziej szkodliwe i niebezpieczne. I właśnie taki przypadek dzisiaj opiszemy.

Poszukiwacze złośliwego oprogramowania w Microsoft zwrócili uwagę na nieprzyjemną rodzinę złośliwego oprogramowania dla systemu MacOS, która szybko ewoluowała od podstawowego trojana zbierającego informacje do ukrytego backdoora o potężniejszych możliwościach.

Rodzina złośliwego oprogramowania dla systemu MacOS, o nazwie UpdateAgent, pojawiła się po raz pierwszy nieco ponad rok temu z podstawowymi możliwościami infekcji i kradzieży danych, ale badacze zauważyli oznaki, że złośliwe oprogramowanie staje się w pełni wyposażonym zestawem narzędzi szpiegowskich.
Na początku, około listopada 2020 r., Microsoft po raz pierwszy zaobserwował malware na MacOS wykorzystywany do rekonesansu za pomocą podstawowych funkcji do zbierania nazw produktów, wersji oprogramowania i innych informacji systemowych.
Do stycznia 2021 r. nowsza wersja dodała możliwości pobierania dodatkowych ładunków z chmur publicznych, a kilka miesięcy później Microsoft zauważył ciche obejścia zabezpieczeń Apple, dwa niepokojące sygnały, że gang odpowiedzialny za złośliwe oprogramowanie nadal dużo inwestuje, aby dotrzeć do ofiar na Apple.
W drugiej połowie 2021 r. złośliwe oprogramowanie stało się jeszcze potężniejsze, gromadząc więcej danych z systemu docelowego i dodając funkcje typu backdoor, aby umożliwić wykonywanie dodatkowych poleceń. Microsoft znalazł nawet później dowody na to, że złośliwe oprogramowanie zawierało możliwość modyfikowania listy sudoers’ów, co pozwalało mu ominąć monit wymagający poświadczeń użytkownika o wysokim poziomie uprawnień podczas uruchamiania pobranej aplikacji UpdateAgent.

„W ostatniej kampanii złośliwe oprogramowanie instalowało wymijające i uporczywe adware Adload, ale zdolność UpdateAgent’a do uzyskania dostępu do urządzenia może teoretycznie być dalej wykorzystywana do pobierania innych, potencjalnie bardziej niebezpiecznych ładunków” — powiedział Microsoft w raporcie dokumentującym rodzinę złośliwego oprogramowania UpdateAgent.

Złośliwe oprogramowanie, które jest obecnie wykorzystywane do czerpania pieniędzy ze złośliwych reklam internetowych, zostało również zaobserwowane z pominięciem technologii bezpieczeństwa Gatekeeper firmy Apple i wykorzystaniem istniejących uprawnień użytkownika do cichego wykonywania złośliwych działań przed usunięciem dowodów w celu zatarcia śladów.

„UpdateAgent wabi swoje ofiary, podszywając się pod legalne oprogramowanie i może wykorzystać funkcje urządzenia Mac. Jedną z najbardziej zaawansowanych technik znalezionych w najnowszym zestawie narzędzi UpdateAgent jest omijanie kontroli Gatekeeper, które mają na celu zapewnienie, że tylko zaufane aplikacje działają na urządzeniach Mac” – powiedział Microsoft.

Firma opublikowała również dowody techniczne, które pokazują, że UpdateAgent używa infrastruktury chmury publicznej – usług Amazon S3 i CloudFront – do hostowania dodatkowych ładunków.
Redmond podzielił się swoimi odkryciami z Amazonem, a złośliwe adresy URL zostały usunięte.

Poniżej rozwój produkcji trojana.

Autor: 4 min czytania

„UpdateAgent wyróżnia się stopniową aktualizacją technik persistence, co jest kluczową cechą wskazującą, że ten trojan prawdopodobnie będzie nadal wykorzystywał bardziej zaawansowane techniki w przyszłych kampaniach” — ostrzegł Microsoft, zauważając, że trojan jest prawdopodobnie dystrybuowany poprzez pobieranie drive-by lub reklamy – wyskakujące okienka podszywające się pod legalne aplikacje.

„To działanie polegające na podszywaniu się lub dołączaniu do legalnego oprogramowania zwiększa prawdopodobieństwo, że użytkownicy zostaną przekonani do zainstalowania złośliwego oprogramowania. Po zainstalowaniu UpdateAgent zaczyna zbierać informacje o systemie, które są następnie wysyłane do jego serwera dowodzenia (C2).

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
10 min czytania 25 cze 2026 08:08
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
4 min czytania 26 cze 2026 08:00
Jak uzyskać pełny dostęp do Windows? Tworzymy backdoor i uruchamiamy wiersz linii poleceń przed ekranem logowania na koncie SYSTEM

Jak uzyskać pełny dostęp do Windows? Tworzymy backdoor i uruchamiamy wiersz linii poleceń przed ekranem logowania na koncie SYSTEM

W dzisiejszym odcinku hakowania pokażemy stary i sprawdzony, choć nieco zmodyfikowany sposób na przejęcie pełnej kontroli w Windows i to jeszcze przed zalogowaniem się do systemu (na ekranie powitalnym). Za je...
7 min czytania 27 mar 2023 06:52
Czego nie mówią nam producenci aplikacji na Smart TV? Ponad połowa z nich udostępnia Twój numer IP

Czego nie mówią nam producenci aplikacji na Smart TV? Ponad połowa z nich udostępnia Twój numer IP

Większość użytkowników zwraca uwagę na aplikacje instalowane w smartfonach czy komputerach, ale rzadko analizuje oprogramowanie działające na Smart TV. Tymczasem najnowsze badania firmy Spur Intelligence Labs po...
9 min czytania 24 cze 2026 08:00
Entra Connect Sync odchodzi w cień

Entra Connect Sync odchodzi w cień

Przez lata Microsoft Entra Connect Sync był jednym z tych elementów infrastruktury, które po prostu miały działać. Stał gdzieś w środowisku lokalnym, synchronizował użytkowników, grupy i atrybuty z Active Di...
7 min czytania 22 cze 2026 07:35
Popularne
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!
Jak uzyskać pełny dostęp do Windows? Tworzymy backdoor i uruchamiamy wiersz linii poleceń przed ekranem logowania na koncie SYSTEM
Czego nie mówią nam producenci aplikacji na Smart TV? Ponad połowa z nich udostępnia Twój numer IP
Entra Connect Sync odchodzi w cień
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.