![Updateagent Revient Avec Le Nouveau Compte-Gouttes De Logiciels Malveillants Macos Écrit En Swift 1 Macbook Hacking](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjkxjgLgst6Uq2SWkRUgytezLo6LecUIY6958JMYWZTeYvuCEsrY2n4KGSwywRP2P1WItzWxfEHOQd0tdMzlTibm7YzEq2xTNXjn29zig5t_c45deWZ8Kgl1_PyMr9teCQ1JDcwriZc0XpC3GXWtVIm2iuk5KwGo1bKglMV1AgLaK6CDKhbogu-FLwY/s728-e100/macbook-hacking.png)
Une nouvelle variante du malware macOS suivi comme UpdateAgent a été repéré dans la nature, indiquant des tentatives continues de la part de ses auteurs pour mettre à niveau ses fonctionnalités.
« Peut-être que l’une des caractéristiques les plus identifiables du malware est qu’il s’appuie sur l’infrastructure AWS pour héberger ses différentes charges utiles et effectuer ses mises à jour du statut d’infection sur le serveur », ont déclaré des chercheurs de Jamf Threat Labs. mentionné dans un rapport.
UpdateAgent, détecté pour la première fois fin 2020, a depuis évolué pour devenir un compte-gouttes de logiciels malveillants, facilitant la distribution de charges utiles de deuxième étape telles que les logiciels publicitaires tout en contournant macOS. Portier protections.
![Updateagent Revient Avec Le Nouveau Compte-Gouttes De Logiciels Malveillants Macos Écrit En Swift 2 Vt](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEiIWhaMazkVRFliAOz6LvIgsqEU52qC8D47jLheotSj6vLcYNwEWNyCATW2XL_BTI_orvKgQYjpv1B3MjLv5WQNeqdbMC5KDG36nwgAkN8_G2R5Uc6dH8LeiZx1D7_m2Pjdq0oQn1RZpeyOzygufFqfFGc3QK33vfXpuzPltYWR9r0IkQFVBENsCwv-/s728-e100/vt.jpg)
Le compte-gouttes basé sur Swift nouvellement découvert se fait passer pour des binaires Mach-O nommés « PDFCreator » et « Active Directory » qui, lors de son exécution, établit une connexion à un serveur distant et récupère un script bash à exécuter.
« La principale différence [between the two executables] est qu’il accède à une URL différente à partir de laquelle il doit charger un script bash », ont noté les chercheurs.
Ces scripts bash, nommés « activedirec.sh » ou alors « bash_qolveevgclr.sh« , incluez une URL pointant vers des compartiments Amazon S3 pour télécharger et exécuter un fichier d’image disque de deuxième étape (DMG) sur le point de terminaison compromis.
« Le développement continu de ce malware montre que ses auteurs restent actifs, essayant d’atteindre autant d’utilisateurs que possible », ont déclaré les chercheurs.