UpdateAgent è un contagocce di malware con un'infrastruttura ben costruita per i sistemi macOS, e sembra che sia stato aggiornato ancora una volta. Secondo Jamf Threat Labs, sono state apportate modifiche al contagocce, principalmente incentrato su nuovi eseguibili scritti in Swift.
Queste Agente di aggiornamento eseguibili "raggiungono a un server di registrazione per estrarre una nuova serie di istruzioni sotto forma di script bash,”I ricercatori hanno detto. È da notare che il malware fa affidamento sull'infrastruttura AWS per ospitare i suoi vari payload e applica gli aggiornamenti dello stato di infezione al server. Queste modifiche attive mostrano l'intenzione degli autori del malware di infettare il maggior numero possibile di utenti Mac.
Contagocce UpdateAgent: Cosa c'è di nuovo?
La nuova variante mostra molte delle classiche caratteristiche del contagocce, i ricercatori hanno detto, compreso il “sistema di impronte digitali minore, registrazione e persistenza dell'endpoint. La squadra di caccia alle minacce informazioni ricevute su un aumento della prevenzione delle minacce adware e malware che sembrava provenissero dalla stessa fonte (famiglia di malware). L'eseguibile analizzato non era firmato ed era in esecuzione dalla directory "/Library/Application Support".. L'analisi ha rivelato che era stato scritto in Swift e conteneva "sospettosamente offuscato (Base64) stringhe."
Il nuovo contagocce si maschera anche come i binari Mach-O soprannominati “Creatore di PDF” e “Directory attiva”. Una volta eseguito, stabiliscono una connessione a un server remoto e recuperano uno script bash destinato all'esecuzione. Gli script di bash, detto “activedirect.sh” o “bash_qolveevgclr.sh”, includi un URL che indirizza ai bucket Amazon S3 per scaricare ed eseguire un'immagine disco di seconda fase (DMG) file sulla macchina interessata.
Insomma, UpdateAgent è famoso per il suo back-end ben costruito che consente facili aggiornamenti. Nonostante ciò, principalmente le famiglie di adware lo stanno abbandonando, i ricercatori sulla sicurezza sono preoccupati che i suoi creatori possano averne altri, piani più dannosi per questo in futuro, considerando la sua infrastruttura ben costruita e gli aggiornamenti frequenti.