Questo Malware per Mac è attivo da anni, ora sta diventando più pericoloso

Il Malware per MacOS Update Agent si sta evolvendo, ora è una minaccia più concreta per gli utenti Apple.

Avatar di Rodrigo Boschi

a cura di Rodrigo Boschi

Il Malware per MacOS noto come “UpdateAgent” è stato identificato oltre un anno fa, nelle sue precedenti versioni il malware era relativamente innocuo e si limitava a raccogliere in maniera abbastanza rudimentale informazioni di sistema piuttosto basilari, come la versione di MacOS installata e il product name del dispositivo.

Tramite un report di Microsoft veniamo però a sapere che Update Agent ha avuto una evoluzione notevole negli ultimi mesi, diventando più nocivo. Oltre a questo, sembra che ora installi anche una pericolosa backdoor.

Una volta installato, l'adware utilizza software e tecniche di iniezione pubblicitaria per intercettare le comunicazioni online di un dispositivo e reindirizzare il traffico degli utenti attraverso i server degli operatori adware, iniettando pubblicità e promozioni nelle pagine web e nei risultati di ricerca. Più specificamente, Adload sfrutta un attacco Person-in-The-Middle (PiTM) installando un proxy web per dirottare i risultati dei motori di ricerca e iniettare pubblicità nelle pagine web, dirottando così le entrate pubblicitarie dai titolari dei siti ufficiali agli operatori di adware.

Adload è anche un ceppo insolitamente persistente di adware. È in grado di aprire una backdoor per scaricare e installare altri adware e payload, oltre a raccogliere informazioni di sistema che vengono inviate ai server degli aggressori. Considerando che sia UpdateAgent che Adload hanno la capacità di installare ulteriori payload, gli aggressori possono sfruttare uno o entrambi questi vettori per fornire potenzialmente minacce più pericolose ai sistemi di destinazione nelle campagne future.

Inoltre, prima di installare AdLoad UserAgent provvede a disattivare alcune funzionalità di sicurezza di MacOS come Gatekeeper (che di default avvisa gli utenti degli eventuali rischi ogni volta che si tenta di eseguire software scaricato da internet) e inoltre si assicura di essere eseguito come demone con privilegi elevati modificando la cartella “LaunchDaemon” mentre in passato si limitava a piazzarsi tra le App in esecuzione al log-in.

In merito al meccanismo di diffusione, Microsoft indica che il malware viene generalmente camuffato come App legittima, ad esempio un player video o una utility di sistema reperibile online con il classico pop-up che invita gli utenti a scaricarla, spesso come step necessario per proseguire con le loro attività. Riassumendo quanto indicato da Microsoft, i Mac infettati vedranno il loro traffico internet dirottato su pagine pubblicitarie, dove potenzialmente gli utenti oltre a vedere pubblicità invasive potrebbero scaricare ulteriori software malevoli, magari sperando di rimuovere proprio Update Agent.

L’evoluzione di questo malware è notevole, non sembra destinata a fermarsi e dovrebbe far suonare un campanello d’allarme agli utenti MacOS: per quanto Apple si sforzi a rendere il sistema operativo sicuro con strumenti di protezione e patch di sicurezza, tutti questi strumenti possono essere facilmente vanificati da una banale distrazione dell'utente.

Gli utenti Apple dovrebbero prestare massima attenzione ai software scaricati da internet, evitando di installarli se non provengono da fonti certe. Altro elemento da evitare sono le App pubblicizzate online tramite pop-up invasivi, magari con toni decisamente sensazionalistici.