Eine neue Variante der macOS-Malware mit dem Namen UpdateAgent wurde in freier Wildbahn entdeckt, was darauf hindeutet, dass die Autoren versuchen, ihre Funktionen zu verbessern.
„Eines der auffälligsten Merkmale der Malware ist vielleicht, dass sie sich auf die AWS-Infrastruktur verlässt, um ihre verschiedenen Nutzlasten zu hosten und den Infektionsstatus auf dem Server zu aktualisieren“, so die Forscher von Jamf Threat Labs in einem Bericht.
UpdateAgent, der erstmals Ende 2020 entdeckt wurde, hat sich seitdem zu einem Malware-Dropper entwickelt, der die Verbreitung von Nutzdaten der zweiten Stufe, wie z. B. Adware, erleichtert und gleichzeitig die Schutzmaßnahmen von macOS Gatekeeper umgeht.
Der neu entdeckte Swift-basierte Dropper tarnt sich als Mach-O-Binärdateien namens „PDFCreator“ und „ActiveDirectory“, die bei der Ausführung eine Verbindung zu einem entfernten Server herstellen und ein Bash-Skript abrufen, das ausgeführt werden soll.
„Der Hauptunterschied [zwischen den beiden ausführbaren Dateien] besteht darin, dass sie eine andere URL ansteuern, von der sie ein Bash-Skript laden sollen“, so die Forscher.
Diese Bash-Skripte mit den Namen „activedirec.sh“ oder „bash_qolveevgclr.sh“ enthalten eine URL, die auf Amazon S3-Buckets verweist, um eine Disk-Image-Datei (DMG) der zweiten Stufe herunterzuladen und auf dem kompromittierten Endpunkt auszuführen.
„Die fortlaufende Entwicklung dieser Malware zeigt, dass ihre Urheber weiterhin aktiv bleiben und versuchen, so viele Nutzer wie möglich zu erreichen“, so die Forscher.