Une nouvelle variante du malware macOS suivi sous le nom de UpdateAgent a été repérée dans la nature, indiquant des tentatives en cours de la part de ses auteurs pour mettre à niveau ses fonctionnalités. « Peut-être que l’une des caractéristiques les plus identifiables du malware est qu’il s’appuie sur l’infrastructure AWS pour héberger ses différentes charges utiles et effectuer ses mises à jour de l’état d’infection sur le serveur », ont déclaré des chercheurs de Jamf Threat Labs dans un rapport. UpdateAgent, détecté pour la première fois fin 2020, a depuis évolué pour devenir un dropper de logiciels malveillants, facilitant la distribution de charges utiles de deuxième étape telles que les logiciels publicitaires tout en contournant les protections macOS Gatekeeper.

Le compte-gouttes basé sur Swift nouvellement découvert se fait passer pour des binaires Mach-O nommés « PDFCreator » et « ActiveDirectory » qui, lors de l’exécution, établissent une connexion à un serveur distant et récupèrent un script bash à exécuter. « La principale différence [entre les deux exécutables] est qu’il accède à une URL différente à partir de laquelle il doit charger un script bash », ont noté les chercheurs. Ces scripts bash, nommés « activedirec.sh » ou « bash_qolveevgclr.sh », incluent une URL pointant vers des compartiments Amazon S3 pour télécharger et exécuter un fichier d’image disque de deuxième étape (DMG) sur le point de terminaison compromis. « Le développement continu de ce malware montre que ses auteurs restent actifs, essayant d’atteindre autant d’utilisateurs que possible », ont déclaré les chercheurs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *