Một biến thể mới của phần mềm độc hại macOS được theo dõi là UpdateAgent đã được phát hiện trong tự nhiên, cho thấy những nỗ lực liên tục của một phần tác giả của nó để nâng cấp các chức năng của nó.
Các nhà nghiên cứu từ Jamf Threat Labs cho biết: “Có lẽ một trong những đặc điểm dễ nhận dạng nhất của phần mềm độc hại là nó dựa vào cơ sở hạ tầng AWS để lưu trữ các tải trọng khác nhau và thực hiện cập nhật trạng thái lây nhiễm cho máy chủ”, các nhà nghiên cứu từ Jamf Threat Labs cho biết trong một báo cáo.
UpdateAgent, được phát hiện lần đầu tiên vào cuối năm 2020, kể từ đó đã phát triển thành một công cụ nhỏ giọt phần mềm độc hại, tạo điều kiện thuận lợi cho việc phân phối các tải trọng giai đoạn hai như phần mềm quảng cáo đồng thời bỏ qua các biện pháp bảo vệ của macOS Gatekeeper.
Công cụ nhỏ giọt dựa trên Swift mới được phát hiện giả mạo thành các tệp nhị phân Mach-O có tên “PDFCreator” và “ActiveDirectory”, khi thực thi, thiết lập kết nối với máy chủ từ xa và truy xuất tập lệnh bash sẽ được thực thi.
“Sự khác biệt chính [between the two executables] là nó tiếp cận với một URL khác mà từ đó nó sẽ tải một tập lệnh bash, “các nhà nghiên cứu lưu ý.
Các tập lệnh bash này, được đặt tên là “activedirec.sh” hoặc “bash_qolveevgclr.sh”, bao gồm một URL trỏ đến nhóm Amazon S3 để tải xuống và chạy tệp hình ảnh đĩa (DMG) giai đoạn hai tới điểm cuối bị xâm phạm.
Các nhà nghiên cứu cho biết: “Sự phát triển liên tục của phần mềm độc hại này cho thấy các tác giả của nó vẫn tiếp tục hoạt động, cố gắng tiếp cận nhiều người dùng nhất có thể.
.
