Een nieuwe variant van de macOS-malware bijgehouden als UpdateAgent is in het wild gespot, wat wijst op voortdurende pogingen van de kant van de auteurs om de functionaliteiten te upgraden.
“Misschien is een van de meest herkenbare kenmerken van de malware dat deze afhankelijk is van de AWS-infrastructuur om de verschillende payloads te hosten en de infectiestatusupdates naar de server uit te voeren”, onderzoekers van Jamf Threat Labs zei in een rapport.
UpdateAgent, voor het eerst gedetecteerd eind 2020, is sindsdien uitgegroeid tot een malware-dropper, die de distributie van tweedegraads payloads zoals adware vergemakkelijkt en macOS omzeilt poortwachter beschermingen.
De nieuw ontdekte op Swift gebaseerde druppelaar doet zich voor als Mach-O-binaire bestanden met de naam “PDF Maker” en “ActiveDirectory” die, bij uitvoering, een verbinding tot stand brengt met een externe server en een bash-script ophaalt dat moet worden uitgevoerd.
“Het belangrijkste verschil [between the two executables] is dat het uitreikt naar een andere URL van waaruit het een bash-script zou moeten laden”, merkten de onderzoekers op.
Deze bash-scripts, genaamd “activedirect.sh” of “bash_qolveevgclr.sh“, voeg een URL toe die verwijst naar Amazon S3-buckets om een tweede-traps schijfkopiebestand (DMG) te downloaden en uit te voeren naar het aangetaste eindpunt.
“De voortdurende ontwikkeling van deze malware laat zien dat de auteurs actief blijven en proberen zoveel mogelijk gebruikers te bereiken”, aldus de onderzoekers.
