UpdateAgent Olarak Adlandırılan Yeni macOS Kötü Amaçlı Yazılımı, Yükseltme İşlevleriyle Görüldü

macOS kötü amaçlı yazılımının UpdateAgent adlı yeni bir varyantı, Jamf Threat Labs araştırmacıları tarafından yükseltme işlevleriyle vahşi bir şekilde tespit edildi.

AWS, kötü amaçlı yazılımın yeni sürümü UpdateAgent'ın kötü amaçlı yüklerini barındıran platformdur ve Swift ile yazılmıştır.

Bu kötü amaçlı yazılıma yapılan son güncellemenin bir sonucu olarak, artık ortak damlalık işlevlerini ve aşağıdaki gibi özellikleri uygulayabilmektedir:

• Minor system fingerprinting
• Endpoint registration
• Persistence

İşte Jamf Threat Labs'deki güvenlik uzmanlarının söyledikleri:

"Damlalıkların işlevselliğini ikinci aşamada indirmek ve yürütmek, genel olarak, kötü amaçlı yazılımlardan casus yazılımlara, reklam yazılımlarına kadar bir dizi ikinci aşama saldırısını destekleyen riskli bir kötü amaçlı yazılım sınıfını temsil eder."

"Kötü amaçlı yazılımın en tanımlanabilir özellikleri, çeşitli yüklerini barındırmak ve sunucuya bulaşma durumu güncellemelerini gerçekleştirmek için AWS altyapısına güvenmesidir."

Tespit Edilmesi

Kötü amaçlı yazılımlar için bir başlatıcı olan UpdateAgent'ın, 2020'de keşfedildiğinden beri kötü amaçlı bir damlalığa dönüştüğü tespit edildi. Artık bu yöntemi kullanarak reklam yazılımlarını ve diğer ikinci aşama verilerini dağıtmak ve macOS Gatekeeper korumasını atlamak mümkün.

Bu sorunun her örneğinin PDFCreator adlı bir programdan kaynaklandığı belirlendi. "/Library/Application Support" dizininde çalışan imzasız bir yürütülebilir dosya vardı.

Daha fazla inceleme, yürütülebilir dosyanın gizlenmiş şüpheli (base64) dizeleri içeren Swift ile yazıldığını ortaya çıkardı.

Yürütüldüğü sistemde, bu ikili kayıt sunucusuna ulaşır ve onunla iletişim kurabilmek için kalıcılığı ayarlar.

Yeni keşfedilen Swift tabanlı damlalığın Mach-O ikili olarak maskelenmesi nedeniyle. Bu bölünme temel olarak, bash komut dosyasını yüklemesi gereken farklı bir URL'ye ulaşmasından kaynaklanmaktadır.

"activedirec.sh" veya "bash_qolveevgclr.sh" bash betikleri, ikinci aşama disk görüntüsü (DMG) dosyasının indirildiği ve çalıştırıldığı bir S3 klasörünün URL'sini içerir.

UpdateAgent kötü amaçlı yazılımının yazarları tarafından güncellenmesi, güncel ve aktif olmasını sağlamak için aldıkları proaktif bir önlemdir. Hiç şüphe yok ki, iyi inşa edilmiş ve kolayca güncellenebilen bir backend ile inşa edilmiştir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.