UpdateAgent Dropper IOCs

security IOC
Опубликовано

Команда Jamf Threat Labs недавно обнаружила изменения во вредоносной программе-дроппере UpdateAgent. Эти изменения в основном касаются новых исполняемых файлов, написанных на языке Swift, которые обращаются к серверу регистрации для получения нового набора инструкций в виде сценария bash. Возможно, одной из наиболее заметных особенностей вредоносной программы является то, что она полагается на инфраструктуру AWS для размещения своих различных полезных нагрузок и обновления статуса заражения на сервере. Дальнейшее развитие этой вредоносной программы показывает, что ее авторы продолжают активную деятельность, пытаясь охватить как можно больше пользователей.

UpdateAgent Dropper Malware

Недавно обнаруженный дроппер на базе Swift обладает многими характеристиками типичных вредоносных программ-дропперов, включая незначительные системные следы, регистрацию конечных точек и персистентность. Загрузка и выполнение функциональности дропперов на втором этапе, в целом, представляют собой класс вредоносных программ с высоким риском, которые поддерживают ряд атак на втором этапе - от вредоносных программ до шпионского и рекламного ПО.

В данном случае Jamf Threat Labs была предупреждена об увеличении числа угроз рекламного/вредоносного ПО, которые, как оказалось, принадлежали к одному и тому же семейству. Кроме того, каждый экземпляр был отслежен до исполняемого файла с именем PDFCreator. Этот исполняемый файл был без подписи и запускался из каталога "/Library/Application Support". При дальнейшей проверке было установлено, что исполняемый файл написан на языке Swift и содержит подозрительно обфусцированные (base64) строки.

На момент обнаружения файл имел нулевое количество посещений от антивирусных вендоров в VirusTotal.

Indicators of Compromise

Domains

  • d2u7maudpwyo3n.cloudfront.net
  • qolveevgclr.activedirec.com
  • szyeckntzbyxbng.itspdfcreator.com

URLs

  • https://d2u7maudpwyo3n.cloudfront.net
  • https://qolveevgclr.activedirec.com
  • https://szyeckntzbyxbng.itspdfcreator.com

MD5

SHA1

  • 7c6b84fb7a38118b5d0a73f762bcddb135cd884e
  • 6c2b0fd987cab2a09a7ebb5c448b47058fd02d34

SHA256

Paths

  • /Library/Application Support/Active/ActiveDirectory
  • /Library/Application Support/PDFCreator/PDFCreator
Похожие записи:
  1. Атаки Ransomware на критическую инфраструктуру финансируют вредоносную кибердеятельность КНДР
  2. RustBucket Malware IOCs
  3. Vidar Malware IOC
  4. MetaStealer Malware IOC
  5. CryptoShuffler Malware IOC
Dropper Jamf Threat Labs Malware UpdateAgent
Добавить комментарий