UpdateAgent マルウェアは Mac を狙う:macOS Gatekeeper もバイパスするという

UpdateAgent Returns with New macOS Malware Dropper Written in Swift

2022/05/17 TheHackerNews — UpdateAgent という名で追跡されている、macOS マルウェアの新亜種が野放しの状態で発見され、また、継続的な機能のアップグレードが実施されていることが判明している。Jamf Threat Labs の研究者は報告書で、「おそらく、このマルウェアの最も大きな特徴の1つは、さまざまなペイロードをホストし、標的サーバーへの感染ステータスを更新するために、AWS インフラストラクチャに依存している点だ」と述べている。

2020年の後半になって、初めて検出された UpdateAgent は、その後にマルウェア・ドロッパーへと進化し、アドウェアなどの第2段階のペイロードを配布する一方で、macOS Gatekeeper の保護をバイパスしている。



新たに発見された Swift ベースのドロッパーは、PDFCreator および ActiveDirectory という名前の Mach-O バイナリを装い、実行時にリモート・サーバーへの接続を確立し、bash スクリプトを取得し実行する。

研究者たちは、「この2つの実行ファイルの主な違いは、bash スクリプトを読み込む際に、別の URL にアクセスすることだ。これらの bash スクリプトは、activedirec.sh または bash_qolveevgclr.sh という名前を持ち、Amazon S3 バケットを指す URL を含み、侵入したエンドポイントに第2段階のディスク・イメージ (DMG) ファイルをダウンロードして実行させるものだ。このマルウェアの継続的な開発は、可能な限り多くのユーザーに到達しようと、作者が活動を続けていることを示している」と述べている。

つい先日に、macOS にアップデートが届きましたが、この Gatekeeper バイパスに関連するのはどうかが分かりません。お隣のキュレーション・チームに聞いてみたら、5月19日に全製品に対するアップデートが提供されたが、5月26日にも macOS にアップデートが提供されたようです。しかし、それらのアップデートに関する記事はポストされていないようです。最近の時期としては、3月31日の「Apple の緊急アップデート:iPhone/iPad/Mac の2つのゼロデイ脆弱性に対応」があります。よろしければ、Apple で検索も、ご利用ください。

%d bloggers like this: