Обновленный дроппер UpdateAgent вернулся на macOS

Обновленный дроппер UpdateAgent вернулся на macOS

Дроппер распространяет рекламное ПО, а также обходит систему защиты Gatekeeper.

image

Новая версия UpdateAgent была замечена в дикой природе, что говорит о попытках авторов обновить функционал вредоноса и заразить как можно больше пользователей macOS.

"Одной из наиболее заметных особенностей вредоносной программы является использование инфраструктуры AWS (Amazon Web Services) для размещения полезных нагрузок и обновления статуса заражения на сервере.", – говорится в отчете исследователей из Jamf Threat Labs.

Троян UpdateAgent, впервые обнаруженный в конце 2020 года, превратился во вредоносный дроппер, способный обходить систему защиты macOS Gatekeeper и распространять рекламное ПО. Новая версия вредоноса написана на Swift, маскируется под исполняемые файлы Mach-O с названиями " PDFCreato r" и " ActiveDirectory ", которые после запуска устанавливают соединение с удаленным сервером злоумышленников и получают bash-скрипт для выполнения.

Bash-скрипты под названиями " activedirec.sh " и " bash_qolveevgclr.sh ", включают URL, указывающий на ведра Amazon S3 для загрузки и запуска файла образа диска (DMG) на скомпрометированной хакерами конечной точке.

В заключении отчета исследователи предупредили о том, что авторы продолжают обновлять свое вредоносное ПО, пытаясь заразить им как можно больше пользователей.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!