Команда Jamf Threat Labs недавно выявила серьезные изменения в поведении вредоносного дроппера UpdateAgent, который теперь использует исполняемые файлы, написанные на языке Swift. Эти файлы взаимодействуют с сервером регистрации для получения инструкций в виде bash-скриптов, что делает атаку более гибкой и сложной для обнаружения. Одной из ключевых особенностей этой угрозы является ее зависимость от облачной инфраструктуры AWS, где злоумышленники размещают полезные нагрузки и обновляют статус зараженных устройств. Это свидетельствует о том, что авторы вредоносной программы активно развивают ее функционал, стремясь охватить как можно больше жертв.
Описание
UpdateAgent демонстрирует классические признаки дроппера: минимальные следы в системе, регистрацию зараженных устройств и механизмы персистентности, позволяющие ему оставаться активным даже после перезагрузки. Однако его главная опасность заключается в способности загружать и выполнять дополнительные вредоносные модули, что открывает путь для более серьезных атак, включая шпионское ПО, рекламные программы и другие формы вредоносного кода.
Поводом для исследования Jamf Threat Labs стало резкое увеличение числа инцидентов, связанных с рекламным и вредоносным ПО. Анализ показал, что все они относятся к одному семейству UpdateAgent. Особое внимание привлек исполняемый файл под названием PDFCreator, который не имел цифровой подписи и запускался из каталога "/Library/Application Support". При детальном изучении выяснилось, что файл написан на Swift и содержит обфусцированные строки в формате base64, что затрудняет его анализ.
На момент обнаружения файл не был замечен антивирусными системами, о чем свидетельствует нулевое количество детекций в VirusTotal. Это говорит о том, что злоумышленники активно используют методы уклонения от обнаружения, включая обфускацию кода и использование легитимных облачных сервисов для хранения вредоносных компонентов.
Эксперты по кибербезопасности рекомендуют пользователям macOS проявлять осторожность при установке программ из ненадежных источников, регулярно обновлять операционную систему и использовать специализированные средства защиты. Поскольку UpdateAgent продолжает эволюционировать, важно оставаться в курсе последних угроз и применять превентивные меры для минимизации рисков.
В ближайшее время Jamf Threat Labs планирует опубликовать более детальный отчет о методах работы UpdateAgent, включая индикаторы компрометации (IoC) и рекомендации по защите. Пока же специалисты советуют проверять подозрительные процессы в системе и обращать внимание на необычную активность, связанную с AWS-серверами.
Индикаторы компрометации
Domains
- d2u7maudpwyo3n.cloudfront.net
- qolveevgclr.activedirec.com
- szyeckntzbyxbng.itspdfcreator.com
URLs
- https://d2u7maudpwyo3n.cloudfront.net
- https://qolveevgclr.activedirec.com
- https://szyeckntzbyxbng.itspdfcreator.com
MD5
SHA1
- 7c6b84fb7a38118b5d0a73f762bcddb135cd884e
- 6c2b0fd987cab2a09a7ebb5c448b47058fd02d34
SHA256
- f2b2a07db11a8ccc3f7431c94130a48e746c1aa2129d9e805f4d6bb4d1fc422f
- d737c8dc4def95064e8078bcf2a1fa0fe2bae9dd0a5769474a360bf00a268a06
Paths
- /Library/Application Support/Active/ActiveDirectory
- /Library/Application Support/PDFCreator/PDFCreator