MacOS kötü amaçlı yazılımının yeni bir çeşidi şu şekilde izlendi: Güncelleme Aracısı vahşi doğada tespit edildi, bu da yazarlarının işlevlerini yükseltmeye yönelik devam eden girişimlerini gösteriyor.
Jamf Threat Labs araştırmacıları, “Belki de kötü amaçlı yazılımın en tanımlanabilir özelliklerinden biri, çeşitli yüklerini barındırmak ve sunucuya bulaşma durumu güncellemelerini gerçekleştirmek için AWS altyapısına güvenmesidir.” dedim bir raporda.
İlk olarak 2020’nin sonlarında tespit edilen UpdateAgent, o zamandan beri bir kötü amaçlı yazılım düşürücüye dönüştü ve reklam yazılımı gibi ikinci aşama yüklerin dağıtımını kolaylaştırırken aynı zamanda macOS’u da atladı. kapı bekçisi korumalar.
Yeni keşfedilen Swift tabanlı damlalık, “adlı Mach-O ikili dosyaları gibi görünüyor.PDF yaratıcısı” ve “ActiveDirectory” bu, yürütme sırasında uzak bir sunucuyla bağlantı kurar ve yürütülecek bir bash betiği alır.
“Birincil fark [between the two executables] Araştırmacılar, bir bash betiği yüklemesi gereken farklı bir URL’ye ulaşmasıdır” dedi.
Bu bash betikleri, “aktifdirec.sh” veya “bash_qolveevgclr.sh“, güvenliği ihlal edilmiş uç noktaya ikinci aşama disk görüntüsü (DMG) dosyasını indirip çalıştırmak için Amazon S3 klasörlerini gösteren bir URL ekleyin.
Araştırmacılar, “Bu kötü amaçlı yazılımın sürekli gelişimi, yazarlarının mümkün olduğunca çok kullanıcıya ulaşmaya çalışarak aktif kalmaya devam ettiğini gösteriyor” dedi.