نوع جدیدی از بدافزار macOS با نام UpdateAgent مشاهده شده است که نشاندهنده تلاشهای مداوم نویسندگان آن برای ارتقای عملکردهای آن است.
پژوهشگران Jamf Threat Labs در گزارشی اعلام کردند شاید یکی از قابل شناساییترین ویژگیهای بدافزار این باشد که به زیرساخت AWS برای میزبانی Payloadهای مختلف و انجام بروزرسانی وضعیت خود روی سرور، متکی است.
UpdateAgent که برای اولین بار در اواخر سال 2020 شناسایی شد، از آن زمان به یک malware dropper تبدیل شده است و توزیع payloadهای مرحله دوم مانند ابزارهای تبلیغاتی را تسهیل میکند و در عین حال از حفاظهای امنیتی macOS Gatekeeper نیز عبور میکند.
Dropper جدید مبتنی بر سوئیفت به صورت باینریهای Mach-O به نامهای "PDFCreator" و "ActiveDirectory" ظاهر میشود که پس از اجرا، یک اتصال با یک سرور راه دور برقرار میکند و یک اسکریپت bash را برای اجرا بارگیری میکند.
محققان خاطرنشان کردند که تفاوت اصلی (بین این دو فایل اجرایی) این است که به URLهای متفاوتی میرسند که باید یک اسکریپت bash را از آنجا بارگیری کنند.
این اسکریپتهای bash، با نامهای "activedirec.sh" یا "bash_qolveevgclr.sh" شامل یک URL هستند که به S3 buckets آمازون منتهی میشود تا فایل مرحله دوم (DMG) را دانلود و در نقطه پایانی اجرا کند.
به گفته محققان، توسعه مداوم این بدافزار نشان میدهد که نویسندگان آن همچنان فعال هستند و تلاش میکنند تا حد امکان به کاربران بیشتری دسترسی پیدا کنند.
پژوهشگران Jamf Threat Labs در گزارشی اعلام کردند شاید یکی از قابل شناساییترین ویژگیهای بدافزار این باشد که به زیرساخت AWS برای میزبانی Payloadهای مختلف و انجام بروزرسانی وضعیت خود روی سرور، متکی است.
UpdateAgent که برای اولین بار در اواخر سال 2020 شناسایی شد، از آن زمان به یک malware dropper تبدیل شده است و توزیع payloadهای مرحله دوم مانند ابزارهای تبلیغاتی را تسهیل میکند و در عین حال از حفاظهای امنیتی macOS Gatekeeper نیز عبور میکند.
Dropper جدید مبتنی بر سوئیفت به صورت باینریهای Mach-O به نامهای "PDFCreator" و "ActiveDirectory" ظاهر میشود که پس از اجرا، یک اتصال با یک سرور راه دور برقرار میکند و یک اسکریپت bash را برای اجرا بارگیری میکند.
محققان خاطرنشان کردند که تفاوت اصلی (بین این دو فایل اجرایی) این است که به URLهای متفاوتی میرسند که باید یک اسکریپت bash را از آنجا بارگیری کنند.
این اسکریپتهای bash، با نامهای "activedirec.sh" یا "bash_qolveevgclr.sh" شامل یک URL هستند که به S3 buckets آمازون منتهی میشود تا فایل مرحله دوم (DMG) را دانلود و در نقطه پایانی اجرا کند.
به گفته محققان، توسعه مداوم این بدافزار نشان میدهد که نویسندگان آن همچنان فعال هستند و تلاش میکنند تا حد امکان به کاربران بیشتری دسترسی پیدا کنند.