El equipo de seguridad de Microsoft ha publicado un artículo en el que habla de un nuevo malware para Mac que ha evolucionado en el último año para ofrecer a los atacantes una progresión creciente de capacidades sofisticadas.
La familia de malware, apodada UpdateAgent por el equipo de inteligencia de amenazas de Microsoft 365 Defender, apareció por primera vez en septiembre de 2020. Desde entonces, ha modificado su funcionamiento pasando de un simple recopilador de información a una pieza de malware puede entregar otras cargas útiles.
UpdateAgent, puede infectar los Mac de los usuarios a través de vectores como descargar automáticas o anuncios emergentes. En la mayoría de las ocasiones, se presenta como una pieza legítima de software, como una aplicación de vídeo o un agente de soporte (algo a lo que los usuarios de Windows están muy acostumbrados).
Algunos de las funciones de malware, permiten eludir el control de seguridad Gatekeeper de Apple o utilizar los permisos existentes para eliminar la evidencia de su existencia en un Mac.
En agosto de 2021, se actualizó con una nueva capacidad para inyectar código persistente que puede ejecutarse como root en un proceso invisible en segundo plano.
Este malware utiliza la infraestructura de la nube pública como Amazon S3 o CloudFront para entregar cargas útiles de segunda etapa en forma de archivos .dmg o .zip.
Según afirma Microsoft respecto a este nuevo malware:
UpdateAgent se caracteriza por su actualización gradual de las técnicas de persistencia, una característica clave que indica que este troyano probablemente seguirá utilizando técnicas más sofisticadas en futuras versiones.
Confiar solo en aplicaciones autorizadas
UpdateAgent tiene una debilidad clave en comparación con otras amenazas para Mac: requiere que el usuario descargue explícitamente un archivo malicioso.
Si no queremos ser infectados por este malware, es recomendable instalar únicamente aplicaciones de desarrolladores de confianza de Apple y de la Mac App Store. No pulses en anuncios ni descargues ninguna aplicación a través de un enlace.