Команда Jamf Threat Labs недавно обнаружила изменения во вредоносной программе-дроппере UpdateAgent. Эти изменения в основном касаются новых исполняемых файлов, написанных на языке Swift, которые обращаются к серверу регистрации для получения нового набора инструкций в виде сценария bash. Возможно, одной из наиболее заметных особенностей вредоносной программы является то, что она полагается на инфраструктуру AWS для размещения своих различных полезных нагрузок и обновления статуса заражения на сервере. Дальнейшее развитие этой вредоносной программы показывает, что ее авторы продолжают активную деятельность, пытаясь охватить как можно больше пользователей.
UpdateAgent Dropper Malware
Недавно обнаруженный дроппер на базе Swift обладает многими характеристиками типичных вредоносных программ-дропперов, включая незначительные системные следы, регистрацию конечных точек и персистентность. Загрузка и выполнение функциональности дропперов на втором этапе, в целом, представляют собой класс вредоносных программ с высоким риском, которые поддерживают ряд атак на втором этапе - от вредоносных программ до шпионского и рекламного ПО.
В данном случае Jamf Threat Labs была предупреждена об увеличении числа угроз рекламного/вредоносного ПО, которые, как оказалось, принадлежали к одному и тому же семейству. Кроме того, каждый экземпляр был отслежен до исполняемого файла с именем PDFCreator. Этот исполняемый файл был без подписи и запускался из каталога "/Library/Application Support". При дальнейшей проверке было установлено, что исполняемый файл написан на языке Swift и содержит подозрительно обфусцированные (base64) строки.
На момент обнаружения файл имел нулевое количество посещений от антивирусных вендоров в VirusTotal.
Indicators of Compromise
Domains
- d2u7maudpwyo3n.cloudfront.net
- qolveevgclr.activedirec.com
- szyeckntzbyxbng.itspdfcreator.com
URLs
- https://d2u7maudpwyo3n.cloudfront.net
- https://qolveevgclr.activedirec.com
- https://szyeckntzbyxbng.itspdfcreator.com
MD5
SHA1
- 7c6b84fb7a38118b5d0a73f762bcddb135cd884e
- 6c2b0fd987cab2a09a7ebb5c448b47058fd02d34
SHA256
- f2b2a07db11a8ccc3f7431c94130a48e746c1aa2129d9e805f4d6bb4d1fc422f
- d737c8dc4def95064e8078bcf2a1fa0fe2bae9dd0a5769474a360bf00a268a06
Paths
- /Library/Application Support/Active/ActiveDirectory
- /Library/Application Support/PDFCreator/PDFCreator