微软追踪越来越复杂的 Mac 特洛伊木马，可提供广告软件

微软的安全团队详细介绍了一种相对较新的Mac恶意软件，该恶意软件已经显着发展，可以为攻击者提供“不断增加的复杂功能”。

被 Microsoft 365 Defender 威胁情报团队称为 UpdateAgent的恶意软件系列于 2020 年 9 月首次浮出水面。从那时起，它逐渐从简单的信息提取器发展为可以传递其他有效负载的更危险的恶意软件。

恶意软件作者正在积极开发的 UpdateAgent 可以通过路过式下载或弹出广告等媒介感染用户 Mac。它通常以合法软件的形式出现，例如视频应用程序或支持代理。

该木马的一些更邪恶的元素包括绕过 Apple 的 Gatekeeper 安全控制或使用现有权限删除其在 Mac 上存在的证据等功能。早在 8 月，它就被更新为注入持久代码的新功能，该代码可以在不可见的后台进程中以 root 身份运行。

此外，该恶意软件使用 Amazon S3 或 CloudFront 等公共云基础设施以 .dmg 或 .zip 文件的形式提供第二阶段有效负载。

这些策略可以让它秘密地执行恶意活动，例如提供广告软件或其他有效负载。虽然它目前用于提供一种名为 Adload 的“异常持久”的广告软件，但微软表示，攻击者可以利用 UpdateAgent 来提供更多潜在危险的攻击。

微软在谈到该恶意软件时表示：“UpdateAgent 的独特之处在于其持久性技术的逐步升级，这一关键特性表明该木马可能会在未来的活动中继续使用更复杂的技术。”

尽管 UpdateAgent 是 Microsoft 于 2021 年 10 月首次发现的，但至少从 2020 年末开始，它就一直在流行。更新版本的 UpdateAgent 显示“与早期版本相比更加精细的行为”，这可能表明未来的更新可能即将到来.

有什么风险，以及如何保护自己

微软没有透露是否有任何特定版本的macOS容易受到恶意软件的攻击。因为它仍在积极开发中，所以最好假设您的 Mac 容易受到恶意软件的攻击。

与其他 Mac 威胁相比，UpdateAgent 有一个关键弱点：它要求用户明确下载恶意文件。

因此，建议您仅从受信任的开发人员和服务（如 Mac App Store ）直接获取应用程序。避免点击广告中的链接，也不要从网站的弹出窗口下载任何内容。