UpdateAgent est un dropper de logiciels malveillants avec une infrastructure bien conçue ciblant les systèmes macOS, et il semble qu'il a été mis à jour une fois de plus. Selon Jamf Threat Labs, des modifications ont été apportées au compte-gouttes, principalement axé sur les nouveaux exécutables écrits en Swift.
Celles-ci Agent de mise à jour les exécutables "contactent un serveur d'enregistrement pour afficher un nouvel ensemble d'instructions sous la forme d'un script bash,» Les chercheurs. Il est à noter que le logiciel malveillant s'appuie sur l'infrastructure AWS pour héberger ses différents charges utiles et appliquer ses mises à jour d'état d'infection au serveur. Ces modifications actives montrent l'intention des auteurs de logiciels malveillants d'infecter autant d'utilisateurs de Mac que possible.
Dropper UpdateAgent: Quoi de neuf?
La nouvelle variante présente de nombreuses caractéristiques classiques du compte-gouttes, les chercheurs, y compris « empreintes digitales mineures du système, enregistrement et persistance des terminaux. L'équipe de chasse aux menaces informations reçues à propos d'une augmentation de la prévention des menaces de logiciels publicitaires et de logiciels malveillants qui semblaient provenir de la même source (famille de logiciels malveillants). L'exécutable qui a été analysé n'était pas signé et s'exécutait depuis le répertoire "/Library/Application Support". L'analyse a révélé qu'il était écrit en Swift et contenait « de manière suspecte (base64) cordes.
Le nouveau compte-gouttes se fait également passer pour des binaires Mach-O surnommés “PDFCreator” et “Active Directory”. Une fois exécuté, ils établissent une connexion à un serveur distant et récupèrent un script bash destiné à être exécuté. Les scripts bash, appelé “activedirec.sh” ou “bash_qolveevgclr.sh”, inclure une URL qui mène aux compartiments Amazon S3 pour télécharger et exécuter une image disque de deuxième étape (DMG) fichier sur la machine affectée.
En conclusion, UpdateAgent est célèbre pour son back-end bien construit permettant des mises à jour faciles. Malgré le fait que ce sont principalement les familles de logiciels publicitaires qui l'abandonnent, les chercheurs en sécurité craignent que ses créateurs n'aient d'autres, plus de plans malveillants pour cela à l'avenir, compte tenu de son infrastructure bien construite et de ses mises à jour fréquentes.