UpdateAgent é um dropper de malware com uma infraestrutura bem construída visando sistemas macOS, e parece que foi atualizado mais uma vez. De acordo com o Jamf Threat Labs, foram implementadas alterações no conta-gotas, focado principalmente em novos executáveis escritos em Swift.
Estes UpdateAgent executáveis “alcançar um servidor de registro para obter um novo conjunto de instruções na forma de um script bash,”Disseram os pesquisadores. É notável que o malware depende da infraestrutura da AWS para hospedar seus vários payloads e aplique suas atualizações de status de infecção ao servidor. Essas mudanças ativas mostram a intenção dos autores do malware de infectar o maior número possível de usuários de Mac.
Atualizar conta-gotas do agente: O que há de novo?
A nova variante exibe muitos dos recursos clássicos do conta-gotas, os pesquisadores disseram, incluindo “impressão digital do sistema menor, registro e persistência de endpoint.” A equipe de caçadores de ameaças informações recebidas sobre um aumento na prevenção de ameaças de adware e malware que pareciam vir da mesma fonte (família de malware). O executável analisado não estava assinado e estava sendo executado no diretório “/Library/Application Support”. A análise revelou que foi escrito em Swift e continha (base64) cordas."
O novo conta-gotas também se disfarça como binários Mach-O apelidados “Criador de PDF” e “ActiveDirectory”. Uma vez executado, eles estabelecem uma conexão com um servidor remoto e recuperam um script bash destinado à execução. Os scripts bash, chamado “activedirect.sh” ou “bash_qolveevgclr.sh”, inclua um URL que leve aos buckets do Amazon S3 para fazer download e executar uma imagem de disco de segundo estágio (DMG) arquivo na máquina afetada.
Em conclusão, O UpdateAgent é famoso por seu back-end bem construído, permitindo atualizações fáceis. Apesar disso, principalmente as famílias de adware estão abandonando-o, pesquisadores de segurança estão preocupados que seus criadores possam ter outros, planos mais maliciosos para ele no futuro, considerando sua infraestrutura bem construída e atualizações frequentes.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: