Jamf Threat Labsは5月18日(米国時間)、macOSを標的としたマルウェア「UpdateAgent」の新しい亜種を発見したことを伝えた。このマルウェアは、感染したMacに外部から悪意のある攻撃コードや別のマルウェアをダウンロードして実行する。第2段階の攻撃には、スパイウェアからマルウェア、アドウェアといったさまざまな種類のペイロードが含まれるという。

UpdateAgentは2020年頃に初めて登場した、macOSを標的としたトロイの木馬型のマルウェア。正規のソフトウェアになりすまして標的のMacに潜伏し、外部から悪意のあるペイロードをダウンロードするドロッパー型のマルウェアとして知られており、これまでにも複数回のアップデートが確認されている。今回発見された新バージョンはプログラミング言語「Swift」で記述されており、AWS上にさまざまなペイロードをホストしていることが明らかになっているという。

Jamf Threat Labsが発見したこの亜種はPDFCreatorに偽装されていたという。発見された時点では、PDFCreattorのバイナリはVirusTotalでゼロレートになっており、マルウェアとしては検出されていなかったとのことだ。

  • 発見当初のVirusTotalの検出レート - 引用:Jamf Threat Labs

    発見当初のVirusTotalの検出レート 引用:Jamf Threat Labs

Jamf Threat Labsによると、この新バージョンのUpdateAgentを実行すると、リモートサーバに接続し、標的のマシンのハードウェアIDが収集され、一意の識別子で感染状況などが管理されるようになるという。続いてリモートサーバからさまざまな悪意のある処理を含むbashスクリプトを取得して実行する。

Jamf Threat Labsのレポートには、このマルウェアの具体的な挙動や、侵入の痕跡(IoC)などの詳細な情報がまとめられている。