UpdateAgent: новая угроза macOS на базе Swift с использованием AWS

security

Команда Jamf Threat Labs недавно выявила серьезные изменения в поведении вредоносного дроппера UpdateAgent, который теперь использует исполняемые файлы, написанные на языке Swift. Эти файлы взаимодействуют с сервером регистрации для получения инструкций в виде bash-скриптов, что делает атаку более гибкой и сложной для обнаружения. Одной из ключевых особенностей этой угрозы является ее зависимость от облачной инфраструктуры AWS, где злоумышленники размещают полезные нагрузки и обновляют статус зараженных устройств. Это свидетельствует о том, что авторы вредоносной программы активно развивают ее функционал, стремясь охватить как можно больше жертв.

Описание

UpdateAgent демонстрирует классические признаки дроппера: минимальные следы в системе, регистрацию зараженных устройств и механизмы персистентности, позволяющие ему оставаться активным даже после перезагрузки. Однако его главная опасность заключается в способности загружать и выполнять дополнительные вредоносные модули, что открывает путь для более серьезных атак, включая шпионское ПО, рекламные программы и другие формы вредоносного кода.

Поводом для исследования Jamf Threat Labs стало резкое увеличение числа инцидентов, связанных с рекламным и вредоносным ПО. Анализ показал, что все они относятся к одному семейству UpdateAgent. Особое внимание привлек исполняемый файл под названием PDFCreator, который не имел цифровой подписи и запускался из каталога "/Library/Application Support". При детальном изучении выяснилось, что файл написан на Swift и содержит обфусцированные строки в формате base64, что затрудняет его анализ.

На момент обнаружения файл не был замечен антивирусными системами, о чем свидетельствует нулевое количество детекций в VirusTotal. Это говорит о том, что злоумышленники активно используют методы уклонения от обнаружения, включая обфускацию кода и использование легитимных облачных сервисов для хранения вредоносных компонентов.

Эксперты по кибербезопасности рекомендуют пользователям macOS проявлять осторожность при установке программ из ненадежных источников, регулярно обновлять операционную систему и использовать специализированные средства защиты. Поскольку UpdateAgent продолжает эволюционировать, важно оставаться в курсе последних угроз и применять превентивные меры для минимизации рисков.

В ближайшее время Jamf Threat Labs планирует опубликовать более детальный отчет о методах работы UpdateAgent, включая индикаторы компрометации (IoC) и рекомендации по защите. Пока же специалисты советуют проверять подозрительные процессы в системе и обращать внимание на необычную активность, связанную с AWS-серверами.

Индикаторы компрометации

Domains

  • d2u7maudpwyo3n.cloudfront.net
  • qolveevgclr.activedirec.com
  • szyeckntzbyxbng.itspdfcreator.com

URLs

  • https://d2u7maudpwyo3n.cloudfront.net
  • https://qolveevgclr.activedirec.com
  • https://szyeckntzbyxbng.itspdfcreator.com

MD5

SHA1

  • 7c6b84fb7a38118b5d0a73f762bcddb135cd884e
  • 6c2b0fd987cab2a09a7ebb5c448b47058fd02d34

SHA256

Paths

  • /Library/Application Support/Active/ActiveDirectory
  • /Library/Application Support/PDFCreator/PDFCreator
Комментарии: 0