UpdateAgent es un cuentagotas de malware con una infraestructura bien construida dirigida a sistemas macOS, y parece que se ha actualizado una vez más. Según Jamf Threat Labs, Se implementaron cambios en el cuentagotas., centrado principalmente en nuevos ejecutables escritos en Swift.
Estas UpdateAgent Los ejecutables "se comunican con un servidor de registro para obtener un nuevo conjunto de instrucciones en forma de un script bash,”Dijeron los investigadores. Cabe destacar que el malware se basa en la infraestructura de AWS para alojar sus diversos cargas útiles y aplicar sus actualizaciones de estado de infección al servidor. Estos cambios activos muestran la intención de los autores del malware de infectar a tantos usuarios de Mac como sea posible..
Cuentagotas de UpdateAgent: Que es nuevo?
La nueva variante exhibe muchas de las características clásicas de cuentagotas., los investigadores dijeron, incluyendo "huellas dactilares menores del sistema, registro de punto final y persistencia.” El equipo de cazadores de amenazas información recibida sobre un aumento en la prevención de amenazas de adware y malware que parecía provenir de la misma fuente (familia de malware). El ejecutable que se analizó no estaba firmado y se ejecutaba desde el directorio "/Library/Application Support". El análisis reveló que estaba escrito en Swift y contenía "información sospechosamente ofuscada". (base64) instrumentos de cuerda."
El nuevo cuentagotas también se hace pasar por binarios Mach-O denominados “Creador de PDF” y “Directorio Activo”. Una vez ejecutada, establecen una conexión con un servidor remoto y recuperan un script bash destinado a la ejecución. Los guiones bash, llamada “activedirect.sh” o “bash_qolveevgclr.sh”, incluya una URL que conduzca a depósitos de Amazon S3 para descargar y ejecutar una imagen de disco de segunda etapa (DMG) archivo en la máquina afectada.
En conclusión, UpdateAgent ha sido famoso por su back-end bien construido que permite actualizaciones fáciles. A pesar de que principalmente las familias de adware lo están dejando caer., los investigadores de seguridad están preocupados de que sus creadores puedan tener otros, más planes maliciosos para ello en el futuro, teniendo en cuenta su infraestructura bien construida y actualizaciones frecuentes.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: