Microsoft mette in guardia su UpdateAgent, il malware per Mac che diventa sempre più pericoloso

Il Microsoft 365 Defender Threat Intelligence Team ha condiviso l'analisi di un malware per Mac relativamente recente che ha visto un'evoluzione particolarmente significativa mettendo gli aggressori nelle condizioni di sfruttre capacità sempre più sofisticate.

Si tratta, più precisamente, di una famiglia di malware scoperta a ottobre 2021 e denominata UpdateAgent che inizialmente mostrava solamente semplici capacità di esfiltrazione di informazioni. Con il passare del tempo, però, i malware di questa famiglia si sono via via irrobustiti arrivando a diventare strumenti in grado di distribuire payload più pericolosi. UpdateAgent può infettare i sistemi Mac tramite vettori come download drive-by o annunci pop-up. Spesso si presenta come un software del tutto legittimo, come un'app di riproduzione video. 

Tra le funzionalità più insidiose di UpdateAgent vi è la capacità di aggirare il meccansimo di sicurezza Gatekeeper di Apple, o sfruttare i permessi esistenti per eliminare le tracce della sua esistenza sul sistema. Lo scorso agosto il malware è stato aggiornato con una nuova funzione che permette di iniettare codice persistente, il quale può essere eseguito con i permessi di root in un processo invisibile in background. Il team di sicurezza di Microsoft spiega inoltre che il malware sfrutta infrastrutture public cloud come Amazon S3 o CloudFront per distribuire payload in forma di file .dmg o .zip.

La sinergia di queste capacità permettono ad UpdateAgent di svolgere attività dannose, come la distribuzione di adware o altri payload. Attualmente il malware sembra essere utilizzato per lo più per distribuire un adware "insolitamente persistente", chiamato AdLoad, ma potrebbe in futuro essere sfruttato per condurre attacchi più pericolosi.

Sebbene sia stato scoperto nel mese di ottobre 2021 il malware risulta in circolazione almeno dalla fine dell'anno precedente. Il team di sicurezza Microsoft non ha precisato se esistano versioni specifiche di macOS vulnerabili a UpdateAgent, ma trattandosi di un malware attivamente in fase di sviluppo è ragionevole supporre che qualsiasi sistema Mac possa essere vulnerabile ad esso.

UpdatrAgent ha comunque un punto debole fondamentale, e cioè richiede che l'utente scarichi esplicitamente un file dannoso. Coloro i quali, quindi, sono adusi a scaricare software solamente da sviluppatori affidabili e tramite Mac App Store non corrono rischi. Al solito il consiglio generale è quello di evitare di fare click in maniera compulsiva su "qualunque cosa si muova", specie se si tratta di annunci pubblicitari e finestre pop-up.