UpdateAgent返回，并在Swift中写入新的macOS恶意软件滴管

macOS恶意软件的一个新变种被跟踪为更新代理已在野外发现，表明其作者正在尝试升级其功能。

Jamf威胁实验室的研究人员在一份报告中表示：“恶意软件最可识别的特征之一可能是，它依赖AWS基础设施来承载其各种有效载荷，并对服务器执行感染状态更新”。

UpdateAgent于2020年末首次被检测到，后来演变为恶意软件滴管，方便了第二阶段有效负载（如广告软件）的分发，同时也绕过了macOS网守保护。

新发现的基于Swift的滴管伪装成名为“PDFCreator”和“ActiveDirectory”的Mach-O二进制文件，在执行时，这些二进制文件与远程服务器建立连接并检索要执行的bash脚本。

研究人员指出：“这两个可执行文件之间的主要区别在于，它可以访问不同的URL，从中加载bash脚本”。

这些名为“activedirec.sh”或“bash\u qolvevgclr.sh”的bash脚本包含一个指向Amazon S3存储桶的URL，用于下载并运行第二阶段磁盘映像（DMG）文件到受损端点。

研究人员说：“这种恶意软件的持续发展表明，其作者继续保持活跃，试图接触尽可能多的用户”。