به گزارش جواد احمدی گورجی- خبرنگار شبکه اقتصاد و تجارت بدافزار UpdateAgent مک به مدت ۱۴ ماه است که بین دستگاههای مختلف پخش میشود و روی سیستمهای آلوده شده بکدور یا در پشتی ((Backdoor نصب میکند.
بهگزارش ویندوز سنترال، تیم مدافع تهدید اطلاعاتی مایکروسافت میگوید: بدافزار معروف مک که با نام UpdateAgent شناخته میشود، بیشتر از یک سال است که به شکل عجیبی در حال گسترش است و با توجه به ویژگیهای پرزرقوبرقی که همواره توسعهدهندگانش به آن اضافه میکنند، هر روز خطرناکتر میشود. ویژگیهای جدید شامل نوع مهاجم پیلود (Payload) بدافزار نمایش تبلیغات ((Adware میشود که روی مکهای آلودهشده بکدور مستحکمی نصب میکند.
خانواده بدافزارهای UpdateAgent در ماههای پایانی سال ۲۰۲۰ میلادی (پاییز ۱۳۹۹) تقریباً بهعنوان سارق اطلاعات پایهای شروع به گردش کرد. این بدافزار، نام محصولات، شماره نسخه و سایر اطلاعت پایهای سیستمها را جمعآوری کرد. علاوه بر این، روش ماندگاری این بدافزار -یعنی توانایی راهاندازی خود با هر بار راهاندازی مک- نیز نسبتاً ابتدایی بود.
مایکروسافت در هفته گذشته گفت که بدافزار «عامل بهروزرسانی» در طول زمان بهطور فزایندهای پیشرفته شده است. بدین ترتیب، این بدافزار گذشته از دادههایی که به سرور هکر ارسال میکند، ضربان قلب اپلیکیشن را نیز برای هکر مخابره میکند تا به او نشان دهد همچنان فعال است و از کار نیفتاده است. از سویی دیگر، این بدافزار نوعی adware با نام Adload نیز نصب میکند.
محقق امنیتی مایکروسافت گزارش کرده است که:
بهمحض اینکه بدافزار adware نصب شود با استفاده نرمافزار تزریق تبلیغات و تکنیکهای رهگیری ارتباطات دستگاه میزبان و هدایت کردن ترافیک کاربر به سمت سرورهای اجرایی ادوِر، عملیات تزریق تبلیغات به صفحات وبسایتها و نتایج جستوجو را اجرا خواهد کرد. در واقع، به زبان تخصصی بدافزار Adload با نصب یک پروکسی وب برای سرقت نتایج موتور جستوجو و تزریق تبلیغات درون صفحات وب نوعی حمله مرد میانی (Man-in-The-Middle) را اجرا میکند که باعث میشود درآمد تبلیغات اصلی وبسایت متوقف شود و درعوض اپراتورهای بدافزار adware درآمد کسب کنند.
همچنین، ادلود Adload بهعنوان نوعی بدافزار تبلیغات با مقاومت بالا شناخته میشود. این بدافزار قابلیت ایجاد در پشتی برای دانلود و نصب دیگر بدافزارها و پیلودها را دارد و قادر است اطلاعاتی که از سیستم به سرور فرمان و کنترل (C2 Server) هکر ارسال میشود را جمعآوری کند. با در نظر گرفتن اینکه بدافزارهای ادلود و آپدیتایجنت هر دو توانایی نصب پیلودهای اضافی را دارند، به هکر امکان میدهند که با اهرم کردن هرکدام یا هردوی این ابزار تهدیدهای جدیتری برای سیستم میزبان بهوجود بیاورند.
بدافزار آپدیتایجنت قبل از نصب ادوِر، اعلان «Gatekeeper» را حذف میکند. این پرچم نشانی است که مکانیزم امنیتی سیستمعامل macOS روی فایلهای دانلود شده میگذارد. در واقع، گیتکیپر، وظیفه دارد به کاربر اعلام کند که نرمافزار جدیدی از اینترنت روی سیستم نصب شده است؛ همچنین، با تطابق نرمافزار جدید با مشخصات بدافزارهای شناختهشده، سلامت آن را تأیید میکند. با وجود این که سازوکار بدافزار مخرب جدید نیست و مشابه بدافزار مک مربوط به سال ۲۰۱۷ عمل میکند، ادغام آن با آپدیتایجنت حکایت از آن دارد که بدافزار کنونی بهطور مرتب در حال توسعه و پیشرفت است.
وظیفهی اصلی بدافزار آپدیتایجنت تا آنجا گسترش یافته که دادههای پروفایل سیستم و SPHardwaretype را گردآوری میکند. این دادهها علاوهبر اطلاعات حیاتی دیگر، شماره سریال مک را نیز شامل میشود. در نسخهی جدید بدافزار شاهد آن هستیم که بهجای فولدر LaunchAgent، فولدر LaunchDaemon را اصلاح میکنند و تغییر میدهند. درحالیکه برای اعمال تغییر باید آپدیتایجنت با دسترسی مدیر راهاندازی شود، تغییر به تروجان اجازه میدهد که کدهای همیشگی تزریق کنند تا از پایه راهاندازی شود.