UpdateAgent ist ein Malware-Dropper mit einer gut aufgebauten Infrastruktur, die auf macOS-Systeme abzielt, und es scheint, dass es noch einmal aktualisiert wurde. Laut Jamf Threat Labs, Änderungen wurden an der Pipette vorgenommen, konzentrierte sich hauptsächlich auf neue ausführbare Dateien, die in Swift geschrieben wurden.
Diese UpdateAgent ausführbare Dateien „erreicht einen Registrierungsserver, um einen neuen Satz von Anweisungen in Form eines Bash-Skripts herunterzuladen,“Sagten die Forscher. Es ist bemerkenswert, dass die Malware auf die AWS-Infrastruktur angewiesen ist, um ihre verschiedenen zu hosten Nutzlasten und seine Infektionsstatusaktualisierungen auf den Server anwenden. Diese aktiven Änderungen zeigen die Absicht der Malware-Autoren, so viele Mac-Benutzer wie möglich zu infizieren.
UpdateAgent-Dropper: Was ist neu?
Die neue Variante weist viele der klassischen Dropper-Features auf, sagten die Forscher, einschließlich „Minor System Fingerprinting, Endpunktregistrierung und Persistenz.“ Das Threat-Hunting-Team Informationen erhalten über eine Zunahme von Adware- und Malware-Bedrohungsprävention, die aussah, als kämen sie aus derselben Quelle (Malware-Familie). Die analysierte ausführbare Datei war nicht signiert und wurde im Verzeichnis „/Library/Application Support“ ausgeführt. Die Analyse ergab, dass es in Swift geschrieben war und „verdächtig verschleiert“ enthielt (base64) Saiten.“
Der neue Dropper tarnt sich auch als synchronisierte Mach-O-Binärdateien “PDF-Erstellungswerkzeug” und “ActiveDirectory”. Einmal ausgeführt, Sie stellen eine Verbindung zu einem entfernten Server her und rufen ein zur Ausführung bestimmtes Bash-Skript ab. Die Bash-Skripte, namens “activedirect.sh” oder “bash_qolveevgclr.sh”, Fügen Sie eine URL hinzu, die zu Amazon S3-Buckets führt, um ein Disk-Image der zweiten Stufe herunterzuladen und auszuführen (DMG) Datei auf dem betroffenen Rechner.
Abschließend, UpdateAgent ist bekannt für sein gut konstruiertes Backend, das einfache Updates ermöglicht. Trotzdem wird es hauptsächlich von Adware-Familien fallen gelassen, Sicherheitsforscher befürchten, dass seine Schöpfer andere haben könnten, weitere böswillige Pläne für die Zukunft, in Anbetracht der gut ausgebauten Infrastruktur und der häufigen Updates.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: