-
06/04/2022
-
23
-
41 bài viết
Phát hiện biến thể mới của mã độc macOS UpdateAgent
Các chuyên gia nghiên cứu từ nhóm Jamf Threat Labs đã phát hiện ra một biến thể mới của phần mềm độc hại macOS UpdateAgent. Phiên bản mới này được viết bằng ngôn ngữ Swift và sử dụng nền tảng AWS để lưu trữ các dữ liệu độc hại.
Biến thể mới của phần mềm độc hại này cũng hỗ trợ các tính năng phổ biến của một trình thả (dropper) nhằm đánh cắp dữ liệu dấu vân tay (fingerprint) của hệ thống, đăng ký điểm cuối và duy trì kết nối với máy nạn nhân.
"Sau khi người dùng tải xuống và thực thi các chức năng của phần mềm, ứng dụng độc hại này sẽ hỗ trợ một số các cuộc tấn công ở giai đoạn thứ hai như thực thi phần mềm độc hại, khởi chạy phần mềm gián điệp, chạy ứng dụng quảng cáo, …" – Các chuyên gia nhận định.
Một số lượng lớn các phần mềm quảng cáo/phần mềm độc hại được phát tán thông qua biến thể mới nhất của phần mềm độc hại macOS UpdateAgent, có tên là PDFCreator. Tại thời điểm phát hiện, ứng dụng này có tỉ lệ phát hiện bằng 0 trên VirusTotal.
Sau khi UpdateAgent thực thi phần mềm độc hại, nó sẽ kết nối tới một máy chủ từ xa và truy xuất các phần mềm độc hại khác dưới dạng tập lệnh bash để thực thi. Tập lệnh bash này có thể được chạy trực tiếp từ dropper mà không cần lưu trên ổ cứng.
“Những kẻ tạo ra mã độc UpdateAgent có vẻ rất cảnh giác trong việc cập nhật . Chúng đã thiết kế cho UpdateAgent một phần mềm phụ trợ để dễ dàng cập nhật tự động . Mặc dù các chuyên gia bảo mật mới chỉ phát hiện thấy các ứng dụng quảng cáo được cài đặt thông qua UpdateAgent, tuy nhiên có thể sẽ có những kế hoạch nguy hiểm khác trong tương lai” - các nhà nghiên cứu kết luận.
"Sau khi người dùng tải xuống và thực thi các chức năng của phần mềm, ứng dụng độc hại này sẽ hỗ trợ một số các cuộc tấn công ở giai đoạn thứ hai như thực thi phần mềm độc hại, khởi chạy phần mềm gián điệp, chạy ứng dụng quảng cáo, …" – Các chuyên gia nhận định.
Một số lượng lớn các phần mềm quảng cáo/phần mềm độc hại được phát tán thông qua biến thể mới nhất của phần mềm độc hại macOS UpdateAgent, có tên là PDFCreator. Tại thời điểm phát hiện, ứng dụng này có tỉ lệ phát hiện bằng 0 trên VirusTotal.
Sau khi UpdateAgent thực thi phần mềm độc hại, nó sẽ kết nối tới một máy chủ từ xa và truy xuất các phần mềm độc hại khác dưới dạng tập lệnh bash để thực thi. Tập lệnh bash này có thể được chạy trực tiếp từ dropper mà không cần lưu trên ổ cứng.
“Những kẻ tạo ra mã độc UpdateAgent có vẻ rất cảnh giác trong việc cập nhật . Chúng đã thiết kế cho UpdateAgent một phần mềm phụ trợ để dễ dàng cập nhật tự động . Mặc dù các chuyên gia bảo mật mới chỉ phát hiện thấy các ứng dụng quảng cáo được cài đặt thông qua UpdateAgent, tuy nhiên có thể sẽ có những kế hoạch nguy hiểm khác trong tương lai” - các nhà nghiên cứu kết luận.
Nguồn: Security Affairs
Chỉnh sửa lần cuối bởi người điều hành: