UpdateAgentは、macOSシステムを対象とした十分に構築されたインフラストラクチャを備えたマルウェアドロッパーです。, もう一度更新されたようです. JamfThreatLabsによると, スポイトに変更が実装されました, 主にSwiftで記述された新しい実行可能ファイルに焦点を当てています.
これらは UpdateAgent 実行可能ファイルは、「登録サーバーに連絡して、bashスクリプトの形式で新しい一連の命令をプルダウンします。,」研究者は言った. マルウェアがさまざまなホストをAWSインフラストラクチャに依存していることは注目に値します ペイロード 感染ステータスの更新をサーバーに適用します. これらのアクティブな変更は、マルウェア作成者ができるだけ多くのMacユーザーに感染する意図を示しています。.
UpdateAgentドロッパー: なにが新しい?
新しいバリアントは、従来のドロッパー機能の多くを示しています, 研究者は言った, 「マイナーシステムのフィンガープリント」を含む, エンドポイントの登録と永続性。」脅威ハンティングチーム 受け取った情報 同じソースから来たように見えるアドウェアとマルウェアの脅威防止の増加について (マルウェアファミリー). 分析された実行可能ファイルは署名されておらず、「/ Library/ApplicationSupport」ディレクトリから実行されていました。. 分析の結果、Swiftで記述されており、「不審に難読化された」が含まれていることが明らかになりました。 (base64) 文字列。」
新しいドロッパーは、Mach-Oバイナリが吹き替えられたように見せかけます “PDFCreator” と “ActiveDirectory”. 実行されると, リモートサーバーへの接続を確立し、実行を目的としたbashスクリプトを取得します. bashスクリプト, と呼ばれる “activedirec.sh” また “bash_qolveevgclr.sh”, 第2段階のディスクイメージをダウンロードして実行するためのAmazonS3バケットにつながるURLを含める (DMG) 影響を受けるマシン上のファイル.
結論は, UpdateAgentは、簡単に更新できるように構築されたバックエンドで有名です。. それにもかかわらず、主にアドウェアの家族はそれを落としています, セキュリティ研究者は、その作成者が他のものを持っている可能性があることを心配しています, 将来的にはもっと悪意のある計画, 十分に構築されたインフラストラクチャと頻繁な更新を考慮する.