UpdateAgent er en malware-dropper med en velbygget infrastruktur rettet mod macOS-systemer, og det ser ud til, at det er blevet opdateret igen. Ifølge Jamf Threat Labs, ændringer blev implementeret på dropperen, primært fokuseret på nye eksekverbare filer skrevet i Swift.
Disse UpdateAgent eksekverbare "når ud til en registreringsserver for at trække et nyt sæt instruktioner ned i form af et bash-script,”Siger forskerne. Det er bemærkelsesværdigt, at malwaren er afhængig af AWS-infrastrukturen til at være vært for dens forskellige nyttelast og anvende dens infektionsstatusopdateringer på serveren. Disse aktive ændringer viser malware-forfatternes hensigt om at inficere så mange Mac-brugere som muligt.
UpdateAgent Dropper: Hvad er nyt?
Den nye variant udviser mange af de klassiske dråberfunktioner, forskerne sagde, herunder "mindre systemfingeraftryk, slutpunktsregistrering og persistens." Trusselsjagtholdet modtaget information om en stigning i forebyggelse af adware og malware-trusler, der så ud som om de kom fra samme kilde (malware familie). Den eksekverbare, der blev analyseret, var ikke signeret og kørte fra mappen "/Library/Application Support". Analysen afslørede, at den var skrevet i Swift og indeholdt "mistænkeligt sløret (base64) strenge."
Den nye dropper forklæder sig også som Mach-O binære filer døbt “PDFCreator” og “ActiveDirectory”. Når henrettet, de etablerer en forbindelse til en fjernserver og henter et bash-script beregnet til eksekvering. Bash-manuskripterne, kaldet “activedirect.sh” eller “bash_qolveevgclr.sh”, inkludere en URL, der fører til Amazon S3 buckets for at downloade og køre et andet trins diskbillede (DMG) fil på den berørte maskine.
Afslutningsvis, UpdateAgent har været berømt for sin velkonstruerede back-end, der giver mulighed for nemme opdateringer. På trods af at hovedsageligt adware-familier dropper det, sikkerhedsforskere er bekymrede for, at dens skabere kan have andre, mere ondsindede planer for det i fremtiden, i betragtning af dens velbyggede infrastruktur og hyppige opdateringer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: