UpdateAgent मालवेयर

UpdateAgent मैक उपकरणों को लक्षित करने वाला एक ट्रोजन खतरा है। धमकी देने वाला सॉफ्टवेयर का यह टुकड़ा पहली बार सितंबर 2020 में सामने आया और इसमें अपेक्षाकृत सरल इन्फोस्टीलर की क्षमताएं थीं। हालाँकि, तब से, खतरे के पीछे साइबर अपराधी इसे विकसित कर रहे हैंलगातार, अधिक से अधिक उन्नत मैलवेयर क्षमताओं को जोड़कर। नवीनतम UpdateAgent वेरिएंट अधिक केंद्रित और परिष्कृत व्यवहार के साथ परिष्कृत ट्रोजन में बदल गए हैं।

Microsoft 365 डिफेंडर थ्रेट इंटेलिजेंस टीम की एक रिपोर्ट में UpdateAgent खतरे के बारे में विवरण जनता के सामने प्रकट किया गया था। विशेषज्ञ खतरे के विकास और इसके कई हानिकारक अभियानों का हिस्सा रहे हैं। उनके निष्कर्षों के अनुसार, UpdateAgent अभी भी सक्रिय विकास के अधीन है और अतिरिक्त दुर्भावनापूर्ण कार्यों से लैस होना जारी रख सकता है।

वितरण और क्षमताएं

UpdateAgent सबसे अधिक संभावना है कि ड्राइव-बाय डाउनलोड या भ्रामक विज्ञापन पॉप-अप के माध्यम से फैलाया जा रहा है, जो वैध सॉफ़्टवेयर उत्पादों, जैसे वीडियो एप्लिकेशन या समर्थन एजेंटों के लिए होने का दावा करता है, लेकिन वास्तव में, ट्रोजन खतरे को वितरित करता है। वास्तविक उत्पादों का प्रतिरूपण करना या वैध सॉफ़्टवेयर के साथ बंडल किए जाने से अपडेटएजेंट द्वारा उपयोगकर्ता के मैक सिस्टम में घुसपैठ करने की संभावना बढ़ जाती है।

एक बार डिवाइस पर तैनात होने के बाद, UpdateAgent विभिन्न डेटा प्रकारों की कटाई शुरू करता है और उन्हें अपने कमांड-एंड-कंट्रोल (सी 2, सी एंड सी) सर्वर पर प्रेषित करता है। इन्फोस्टीलर गतिविधियों के अलावा, खतरे के अधिक हाल के संस्करण किसी भी शेष सबूत को हटाने और उसके ट्रैक को कवर करने से पहले घुसपैठ की कार्रवाई करने के लिए पहले से मौजूद उपयोगकर्ता अनुमतियों का लाभ उठा सकते हैं।चुपके से। ट्रोजन में जोड़ी गई सबसे परिष्कृत विशेषताओं में से एक गेटकीपर के सुरक्षा प्रोटोकॉल को बायपास करने की क्षमता है, अंतर्निहित मैकओएस सुविधा जो संभावित मैलवेयर खतरों को रोकने के लिए कोड साइनिंग और डाउनलोड किए गए ऐप्स को सत्यापित करने के लिए काम करती है।

अतिरिक्त पेलोड

अक्टूबर 2021 में हुए एक हमले के अभियान में, इन्फोसेक के शोधकर्ताओं ने UpdateAgent को संक्रमित सिस्टम में दूसरे चरण के पेलोड को लाने और तैनात करने का अवलोकन किया। ट्रोजन ने खराब AdLoad एडवेयर परिवार से संबंधित एक संस्करण को छोड़ दिया। जबकि AdLoad को ज्यादातर अवांछित विज्ञापनों को इंजेक्ट करने और उन्हें उपयोगकर्ताओं को प्रदर्शित करने का काम सौंपा जाता है, साइबर अपराधी अन्य, अधिक खतरनाक पेलोड, जैसे रैंसमवेयर को छोड़ने के लिए UpdateAgent का उपयोग कर सकते हैं। यह ध्यान दिया जाना चाहिए कि UpdateAgent द्वारा तैनात दूसरे चरण के पेलोड को Amazon S3 और CloudFront द्वारा प्रदान किए गए सार्वजनिक क्लाउड इन्फ्रास्ट्रक्चर पर होस्ट किया गया था। Microsoft द्वारा अपने निष्कर्षों को Amazon Web Services के साथ साझा करने के बाद, असुरक्षित URL को हटा दिया गया।