Обновленный дроппер UpdateAgent вернулся на macOS

Новая версия UpdateAgent была замечена в дикой природе, что говорит о попытках авторов обновить функционал вредоноса и заразить как можно больше пользователей macOS.

«Одной из наиболее заметных особенностей вредоносной программы является использование инфраструктуры AWS (Amazon Web Services) для размещения полезных нагрузок и обновления статуса заражения на сервере.», – говорится в отчете исследователей из Jamf Threat Labs.

Троян UpdateAgent, впервые обнаруженный в конце 2020 года, превратился во вредоносный дроппер, способный обходить систему защиты macOS Gatekeeper и распространять рекламное ПО. Новая версия вредоноса написана на Swift, маскируется под исполняемые файлы Mach-O с названиями «PDFCreator» и «ActiveDirectory», которые после запуска устанавливают соединение с удаленным сервером злоумышленников и получают bash-скрипт для выполнения.

Bash-скрипты под названиями «activedirec.sh» и «bash_qolveevgclr.sh», включают URL, указывающий на ведра Amazon S3 для загрузки и запуска файла образа диска (DMG) на скомпрометированной хакерами конечной точке.

В заключении отчета исследователи предупредили о том, что авторы продолжают обновлять свое вредоносное ПО, пытаясь заразить им как можно больше пользователей.