UpdateAgent trả lại với macOS Malware Dropper mới được viết bằng Swift

Một biến thể mới của độc hại macOS được theo dõi là đã được phát hiện trong tự nhiên, cho thấy những nỗ lực liên tục của một phần tác giả của nó để nâng cấp các chức năng của nó.

Các nhà nghiên cứu từ Jamf Threat Labs cho biết: “Có lẽ một trong những đặc điểm dễ nhận dạng nhất của là nó dựa vào cơ sở hạ tầng AWS để lưu trữ các tải trọng khác nhau và thực hiện cập nhật trạng thái lây nhiễm cho máy chủ”, các nhà nghiên cứu từ Jamf Threat Labs cho biết trong một báo cáo.

UpdateAgent, được phát hiện lần đầu tiên vào cuối năm 2020, kể từ đó đã phát triển thành một công cụ nhỏ giọt phần mềm độc hại, tạo điều kiện thuận lợi cho việc phân phối các tải trọng giai đoạn hai như phần mềm quảng cáo đồng thời bỏ qua các biện pháp bảo vệ của macOS Gatekeeper.

Công cụ nhỏ giọt dựa trên Swift mới được phát hiện giả mạo thành các tệp nhị phân Mach-O có tên “PDFCreator” và “ActiveDirectory”, khi thực thi, thiết lập kết nối với máy chủ từ xa và truy xuất tập lệnh bash sẽ được thực thi.

“Sự khác biệt chính [between the two executables] là nó tiếp cận với một URL khác mà từ đó nó sẽ tải một tập lệnh bash, “các nhà nghiên cứu lưu ý.

Xem tiếp:   Lỗi RCE nghiêm trọng được báo cáo trong Plugin trình tạo trang web WordPress Elementor

Các tập lệnh bash này, được đặt tên là “activedirec.sh” hoặc “bash_qolveevgclr.sh”, bao gồm một URL trỏ đến nhóm Amazon S3 để tải xuống và chạy tệp hình ảnh đĩa (DMG) giai đoạn hai tới điểm cuối bị xâm phạm.

Các nhà nghiên cứu cho biết: “Sự phát triển liên tục của phần mềm độc hại này cho thấy các tác giả của nó vẫn tiếp tục hoạt động, cố gắng tiếp cận nhiều người dùng nhất có thể.

.

Related Posts

Check Also

Shadow ID là gì và chúng quan trọng như thế nào vào năm 2022?

Ngay trước lễ Giáng sinh năm ngoái, trong một trường hợp đầu tiên, JPMorgan đã …