Обновленная хакерская программа хитро обходит почти все антивирусы для macOS
Печально известный дроппер UpdateAgent снова обновился и теперь использует сложнейшую схему загрузки вредоносов в системы жертв. Антивирусы его почти не видят.
С миру по нитке
Эксперты по информбезопасности компании Jamf Threat Labs обнаружили новую версию вредоносной программы под macOS UpdateAgent. Наиболее характерной отличительной чертой этого вредоноса является то, что его многочисленные компоненты хранятся в инфраструктуре Amazon AWS.
UpdateAgent впервые был обнаружен в конце 2020 г. С тех пор он эволюционировал в эффективного дроппера, программу, которая скачивает и устанавливает другие вредоносы, обходя защиту macOS, в частности, Gatekeeper. В мае 2022 г. антивирусы его также не детектировали вовсе.
Новая версия дроппера написана на относительно новом языке Swift, что также сказывается на вероятности его обнаружения. UpdateAgent выдает себя за исполняемые файлы PDFCreator и Active Directory.
Многоэтапный дроппер
Эксперты Jamf Threat Labs получили информацию об участившихся случаях обнаружения вредоносов и несанкционированной рекламы — adware, которые явно относились к одному и тому же семейству. Более того, каждый такой случай был связан с исполняемым файлом PDFCreator. «Он оказался лишенным подписи и запускался из каталога /Library/Application Support. При дальнейшем исследовании выяснилось, что он написан на Swift и содержит подозрительно замаскированные строки base64», — говорится в исследовании Jamf.
После запуска он устанавливает соединение с тем или иным удаленным сервером (зависит от версии исполняемогой файла) и скачивает и запускает bash-скрипты activedirec.sh или bash_qolveevgclr.sh. Эти скрипты содержат URL, указывающие на хранилища AmazonS3, откуда закачивается следующий компонент вредоноса, на этот раз файл DMG (образ диска). В нем содержится (очевидно вредоносное) приложение, название которого генерируется из нескольких случайных словарных слов. Приложение копируется в папку /tmp. Ссылка на него, в свою очередь, сохраняется в исполняемом скрипте $TMPFILE.
Любопытно, что вредонос модифицирует файл /etc/sudoers с помощью команды echo "$userALL = NOPASSWD: $TMPFILE pkgsh" >> "/etc/sudoers". Этот файл управляет тем, кто из пользователей какие команды может запускать и с какими правами; он также регулирует то, будут ли у пользователей запрашиваться пароли для выполнения определенных команд.
В результате этой манипуляции $TMPFILE будет запускаться без запроса пароля и с правами root. Впрочем, подобное возможно только при условии, что UpdateAgent уже запущен с правами root. Каким именно образом это происходит, в исследовании не уточняется.
Затем вредонос создает агента инициализации (LaunchAgent) пользовательского уровня с помощью серии команд, выполняемых при помощи штатного инструмента macOS PlistBuddy. Получившийся файл plist (XML-файл со свойствами того или иного приложения) загружается в среде выполнения (runtime) и запускает временное приложение.
После загрузки LaunchAgent, вредоносный bash-скрипт на некоторое время встает на паузу, а затем выгружает образ DMG и откатывает изменения в файле sudoers.
Эксперты Jamf отмечают, что методы функционирования UpdateAgent в среде macOS существенным образом напоминают действия версии вредоноса под Windows. К настоящему времени лишь небольшая часть антивирусов на платформе VirusTotal детектирует UpdateAgent под macOS.
«Использование языка Swift действительно иногда способствует обеспечению скрытности вредоносов, хотя едва ли оказываются решающим фактором, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — В данном случае речь идет скорее об архитектуре и процессах вредоноса, обеспечивающих ему низкую степень обнаруживаемости. Это указывает на высокий уровень квалификации авторов вредоносной программы. Вдобавок, эксперты Jamf указывают, что UpdateAgent обладает очень качественно написанным бэкэндом, позволяющим легко и быстро его обновлять. А значит, новые скрытные версии воспоследуют в ближайшее время. И отдельное беспокойство вызывает безнаказанное использование AmazonS3 для хостинга вредоносных компонентов».