Varian baru malware macOS dilacak sebagai PerbaruiAgen telah terlihat di alam liar, menunjukkan upaya berkelanjutan dari pihak penulisnya untuk meningkatkan fungsionalitasnya.
“Mungkin salah satu fitur malware yang paling dapat diidentifikasi adalah ia bergantung pada infrastruktur AWS untuk meng-host berbagai muatannya dan melakukan pembaruan status infeksinya ke server,” kata peneliti dari Jamf Threat Labs dalam sebuah laporan.
UpdateAgent, yang pertama kali terdeteksi pada akhir tahun 2020, telah berkembang menjadi penetes malware, memfasilitasi distribusi muatan tahap kedua seperti adware sambil juga melewati perlindungan macOS Gatekeeper.
Dropper berbasis Swift yang baru ditemukan menyamar sebagai binari Mach-O bernama “PDFCreator” dan “ActiveDirectory” yang, setelah dieksekusi, membuat koneksi ke server jauh dan mengambil skrip bash untuk dieksekusi.
“Perbedaan utama [between the two executables] adalah bahwa ia menjangkau URL yang berbeda dari mana ia harus memuat skrip bash,” catat para peneliti.
Skrip bash ini, bernama “activedirec.sh” atau “bash_qolveevgclr.sh”, menyertakan URL yang menunjuk ke bucket Amazon S3 untuk mengunduh dan menjalankan file disk image (DMG) tahap kedua ke titik akhir yang disusupi.
“Kelanjutan pengembangan malware ini menunjukkan bahwa pembuatnya terus aktif, mencoba menjangkau pengguna sebanyak mungkin,” kata para peneliti.