一个在 Mac 上悄悄进化了14个月的恶意程序

你可能觉得 Mac 电脑相对安全，但恶意软件的威胁从未远离。近期，一个名为 UpdateAgent 的恶意软件家族在苹果设备上活跃了超过一年，并且功能还在不断升级。它最初只是个简单的信息窃取工具，如今已能安装顽固的广告软件，甚至为系统打开一扇危险的“后门”。

UpdateAgent 的演变之路

这个恶意软件最早在2020年底出现，当时它的能力还比较初级。我的理解是，它主要收集一些基础的设备信息，比如产品名称和系统版本，然后发送给攻击者。它让自己在电脑开机时自动运行的方法也相对简单。

但情况很快发生了变化。根据微软在2022年初的分析，UpdateAgent 开始变得越来越复杂。它不仅会定期向攻击者的服务器发送“心跳”信号，证明自己还在运行，更重要的是，它开始负责安装另一款名为 Adload 的广告软件。这标志着它从一个单纯的“小偷”，变成了一个能引入更多威胁的“搬运工”。

广告软件如何劫持你的网络

那么，UpdateAgent 安装的 Adload 广告软件具体会做什么呢？它的核心手段是一种“中间人攻击”。简单来说，它会劫持你电脑的网络通信。

Adload 会在你的 Mac 上安装一个网络代理。这样一来，当你上网浏览网页或进行搜索时，你的流量会先经过攻击者控制的服务器。攻击者就能趁机向网页里强行插入广告，甚至篡改你的搜索结果。微软研究人员指出，这种做法“将广告收入从官方网站持有者那里吸走给广告软件运营商”。更麻烦的是，Adload 本身也非常顽固，并且同样具备打开后门、下载安装更多恶意程序的能力。

恶意软件如何绕过系统防护

为了成功安装 Adload，UpdateAgent 还需要突破 macOS 系统的一道重要防线——Gatekeeper。Gatekeeper 是苹果设计的安全机制，旨在确保用户从网络下载的软件都经过检查，并会发出明确警告。

UpdateAgent 采用了一种并不新鲜但有效的方法：它会移除 Gatekeeper 附加在下载文件上的安全标志。虽然类似手法在2017年就出现过，但将其整合进 UpdateAgent，恰恰说明了这款恶意软件正在“持续开发”和升级。此外，它的信息收集范围也扩大了，开始获取能揭示 Mac 序列号的硬件数据，并且通过修改系统文件夹，获得了以更高权限（root）运行的能力，从而更深入地潜伏在系统中。

我们该如何防范

这类恶意软件通常不会主动攻击，而是依赖用户的“配合”。它们会伪装成视频播放器或客服支持工具等合法软件，通过被入侵的网站、恶意广告，或者直接弹出的虚假警告窗口进行传播。用户一旦被诱导点击并安装，恶意程序便得以入驻。

因此，防范的关键在于提高警惕。对于 Mac 用户来说，学会识别社会工程学陷阱尤为重要。例如，对浏览器中突然弹出的、声称你的电脑已感染病毒或需要立即更新软件的警告窗口保持怀疑，不要轻易点击其中的链接或下载任何东西。时刻记住，Gatekeeper 的警告是保护你的重要提示，切勿随意绕过。