La scoperta e successiva analisi da parte del Microsoft 365 Defender Threat Intelligence Team di un sofisticato trojan per Mac, nel mese di ottobre, ha esposto un’evoluzione lunga un anno di una famiglia di malware.
Ciò, secondo il team di cybersecurity di Microsoft, descrive bene la crescente complessità delle minacce su tutte le piattaforme.
Il trojan viene tracciato come UpdateAgent ed è iniziato come un malware che ruba informazioni, relativamente semplice. Tuttavia, i ricercatori lo hanno osservato distribuire payload secondari nell’ultima campagna, una capacità aggiunta in una delle sue molteplici iterazioni.
Ricordando la progressione dei trojan information-stealer in altre piattaforme, secondo il team di Microsoft UpdateAgent può similmente diventare un vettore per altre minacce per infiltrarsi nei sistemi target.
UpdateAgent, l’evoluzione di un malware
Dalla sua prima apparizione nel settembre 2020, sottolinea Microsoft, il malware ha mostrato una crescente progressione di capacità sofisticate.
E, sebbene le ultime due varianti abbiano un comportamento molto più raffinato rispetto alle versioni precedenti, ci sono anche segni che il malware è ancora in fase di sviluppo e altri aggiornamenti sono probabili, secondo Microsoft.
L’ultima campagna ha registrato il malware installare l’evasivo e persistente adware Adload. Ma – avverte Microsoft – la capacità di UpdateAgent di ottenere l’accesso a un dispositivo può teoricamente essere ulteriormente sfruttata per altri payload potenzialmente più pericolosi.
UpdateAgent – ha spiegato Microsoft – attira le sue vittime spacciandosi per software legittimo e può sfruttare le funzionalità dei dispositivi Mac a suo vantaggio.
Una delle tecniche più avanzate riscontrate in UpdateAgent è l’aggiramento dei controlli Gatekeeper, che sono progettati per garantire che solo le app affidabili vengano eseguite sui Mac.
Il trojan può sfruttare le autorizzazioni utente esistenti per eseguire tranquillamente attività dannose prima di cancellare le prove per coprire le sue tracce.
UpdateAgent – sottolinea ancora Microsoft – abusa anche dell’infrastruttura cloud pubblica, in particolare dei servizi Amazon S3 e CloudFront, per ospitare i suoi payload aggiuntivi.
Il team di Microsoft ha condiviso tali scoperte con quello di Amazon Web Services, che ha rimosso gli URL dannosi. Secondo Microsoft, questo è un altro esempio di come la condivisione dell’intelligence e la collaborazione si traducono in una migliore sicurezza per una community più ampia di utenti.
Sul blog ufficiale, il Microsoft 365 Defender Threat Intelligence Team ha condiviso ciò che ha scoperto sull’evoluzione del trojan UpdateAgent che prende di mira gli utenti Mac.
Microsoft lancia Cyber Signals per la threat intelligence
L’attività dei team di Microsoft in tema di cybersecurity è costante e intensa. Ed è, come sottolineato prima, spesso tesa alla condivisione dell’intelligence.
Un’altra novità in questo campo è ad esempio l’annuncio di Cyber Signals, un brief di threat intelligence basato sugli ultimi dati e le ultime ricerche sulle minacce di Microsoft.
Questo contenuto sarà rilasciato trimestralmente, ha informato Microsoft, per offrire una prospettiva di esperti nell’attuale panorama delle minacce. Nonché discutere sulle tattiche, le tecniche e le strategie di tendenza, utilizzate dai player delle minacce più prolifici del mondo.
L’intenzione di Microsoft è quella di fornire una risorsa preziosa per i Chief Information Security Officer, i Chief Information Officer, i Chief Privacy Officer e i loro team, per affrontare un panorama delle minacce in costante evoluzione.
Cyber Signals aggrega gli insight che i team di ricerca e sicurezza di Microsoft rilevano “in prima linea”. Tra questi, l’analisi dei 24mila miliardi di segnali di sicurezza combinati con l’intelligence che Microsoft traccia monitorando più di 40 gruppi di stati-nazione e oltre 140 gruppi di minacce.
Nella prima edizione di Cyber Signals, Microsoft ha affrontato il tema dell’identità. Se non manteniamo una buona igiene di sicurezza, avverte Microsoft, le nostre identità sono a rischio. E nell’ultimo anno l’identità degli utenti è diventato un campo di battaglia della sicurezza.
Secondo Microsoft, se da un lato le minacce sono aumentate rapidamente negli ultimi due anni, dall’altro c’è stata una bassa adozione dell’autenticazione forte dell’identità, come la multifactor authentication (MFA) e le soluzioni passwordless.
