UpdateAgent is een malware-dropper met een goed gebouwde infrastructuur gericht op macOS-systemen, en het lijkt erop dat het opnieuw is bijgewerkt. Volgens Jamf Threat Labs, er zijn wijzigingen doorgevoerd in de druppelaar, voornamelijk gericht op nieuwe uitvoerbare bestanden geschreven in Swift.
Deze UpdateAgent uitvoerbare bestanden "neem contact op met een registratieserver om een nieuwe set instructies op te halen in de vorm van een bash-script,”Aldus de onderzoekers. Het is opmerkelijk dat de malware afhankelijk is van de AWS-infrastructuur om zijn verschillende payloads en pas de infectiestatusupdates toe op de server. Deze actieve wijzigingen tonen de intentie van de malware-auteurs om zoveel mogelijk Mac-gebruikers te infecteren.
UpdateAgent Dropper: Wat is nieuw?
De nieuwe variant vertoont veel van de klassieke dropper-functies, aldus de onderzoekers, inclusief "vingerafdrukken van kleine systemen", eindpuntregistratie en persistentie.” Het dreigingsjachtteam ontvangen informatie over een toename van het voorkomen van adware- en malwarebedreigingen die eruitzag alsof ze uit dezelfde bron kwamen (malware familie). Het uitvoerbare bestand dat werd geanalyseerd, was niet ondertekend en werd uitgevoerd vanuit de map "/Library/Application Support". Uit de analyse bleek dat het in Swift was geschreven en "verdacht versluierd" bevatte (base64) snaren.”
De nieuwe druppelaar vermomt zich ook als Mach-O-binaire bestanden “PDF Maker” en “ActiveDirectory”. Keer uitgevoerd, ze brengen een verbinding tot stand met een externe server en halen een bash-script op dat bedoeld is voor uitvoering. De bash-scripts, genoemd “activedirect.sh” of “bash_qolveevgclr.sh”, een URL opnemen die leidt naar Amazon S3-buckets om een schijfkopie van de tweede fase te downloaden en uit te voeren (DMG) bestand op de getroffen machine.
Tenslotte, UpdateAgent staat bekend om zijn goed geconstrueerde back-end die gemakkelijke updates mogelijk maakt. Ondanks dat laten vooral adware-families het vallen, beveiligingsonderzoekers maken zich zorgen dat de makers ervan andere, meer kwaadaardige plannen voor in de toekomst, gezien de goed gebouwde infrastructuur en frequente updates.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: