Специалисты Microsoft обнаружили новый образец вредоносной программы для macOS, известной под именем WizardUpdate (также её называют UpdateAgent или Vigram). В последней на данный момент версии авторы усовершенствовали техники ухода от обнаружения и укрепления зловреда в системе.
По словам экспертов корпорации из Редмонда, вредоносная программа распространяется с помощью непреднамеренной загрузки (Drive-by download) и маскируется под безопасный и легитимный софт. Хотя в январе аналитики Confiant сообщали о распространении WizardUpdate под видом установщиков Flash.
Впервые об этом зловреде стало известно в ноябре 2020 года, тогда он мог лишь извлекать и передавать операторам информацию о заражённой системе. Однако с тех пор авторы WizardUpdate значительно усовершенствовали свой софт.
Например, достаточно взглянуть на образцы зловреда, которые датируются уже этим месяцем:
- WizardUpdate разворачивает дополнительные пейлоады, загружаемые из облачной инфраструктуры;
- собирает полную историю загрузок macOS с помощью строки LSQuarantineDataURLString;
- обходит защиту Gatekeeper, удаляя пометки «в карантин» у загруженных пейлоадов;
- модифицирует файлы PLIST;
- использует существующие профили для выполнения команд;
- выдаёт обычным пользователям права администратора.
«UpdateAgent использует облачную инфраструктуру для хранения дополнительных вредоносных нагрузок. Кроме того, теперь вредонос может обходить Gatekeeper, специально созданный для запуска лишь проверенного и надёжного софта», — пишет Microsoft.