如果你以为微软只把目光放在自家的 Windows 系统上面，那你可就看扁他了！Microsoft 365 Defender Threat Intelligence 团队近日发表一份最新的报告，针对一款名为「UpdateAgent」的 macOS 木马病毒进行长期追踪观察，并将其从 2020 年 9 月以来的整个变种发展记录下来。

微软新报告披露一款 Mac 木马从 2020 年 9 月至今变种成长

在微软的最新报告中详细介绍了一个复杂的特洛伊木马程式，该特洛伊木马自 2020 年 9 月以来一直在持续地变种发展，以更有效地破坏 Mac 使用者原有的美好生活。该木马被微软命名为「UpdateAgent」，并且在报告中概述了这款木马的作用，其中包括假冒成安全无害的软体，更糟的是还把 Mac 自身的特性用於恶意目的。如果你认为 Mac 在保护你只运行受信任的应用程式方面无敌，那麽 UpdateAgent 将打破你的无敌幻想，更坏的消息是，一旦破坏了你的设备，可以完全清除掉自己的足迹而不被发现。

自首次亮相以来，UpdateAgent 开发者在过去一年中定期更新该特洛伊木马使它功能性益发复杂，与早期版本相比，最新的两个变种具有更精细的行为模式，但它们的迹象却又显示出此恶意软体仍处於开发阶段，并且可能会有更多的变种与更多功能性。在最新的活动中，恶意软体安装了具有规避性和持久性两种特色的 Adload 广告软体，但理论上来讲，UpdateAgent 访问设备的能力可以进一步利用来获取其他可能更危险的恶意有效负载，从而增加设备多次感染的可能。
▲UpdateAgent 从被发现到 2021 年 10 月的功能性变种路线图

该特洛伊木马可能透过偷渡式下载或广告弹出视窗来散播，这些弹出视窗看起来会与合法软体非常相似，就像影片应用程式、支援代理等。这种将木马与合法软体捆绑在一起的操作，提高了使用者被诱骗安装恶意软体的可能性。安装後，UpdateAgent 会开始收集系统资讯，然後将窃取的所有数据发送到其命令和控制 （C2） 伺服器上。

▲UpdateAgent 的活动与攻击链

有兴趣的读者可以到微软的安全部落格去获取更完整的报告，这不是微软第一次提醒 Apple 粉丝注意网路安全，当然也很可能不会是最後一次，虽然它最终还是在推销自家的 Microsoft Defender，能够看到微软将视野放大是件好事。