ટ્રિકબોટ 100મા વર્ઝન સાથે : નવીનતમ સુવિધાઓ સાથે માલવેર રીલીઝ થયું

ટ્રિકબોટ(TrickBot) સાયબર ક્રાઇમ ગેંગે તપાસ ટાળી શકાય તેવી વધારાની સુવિધાઓ સાથે ટ્રિકબોટ માલવેરનું 100મું વર્ઝન બહાર પાડ્યું છે.

                              

ટ્રિકબોટ એ માલવેર ચેપ છે જે સામાન્ય રીતે દૂષિત ફિશિંગ ઇમેઇલ્સ અથવા અન્ય માલવેર દ્વારા સ્થાપિત થાય છે. જ્યારે તે ઇન્સ્ટોલ થાય છે, ત્યારે ટ્રિકબોટ પીડિતના કમ્પ્યુટર પર શાંતિથી ચાલશે અને વિવિધ કાર્યો કરવા માટે અન્ય મોડ્યુલો ડાઉનલોડ કરે છે.

આ મોડ્યુલો, દૂષિત પ્રવૃત્તિઓની વિશાળ શ્રેણી બનાવે છે, જેમાં ડોમેનની સક્રિય ડિરેક્ટરી સેવાઓ ડેટાબેસની ચોરી, નેટવર્ક પર અંત સુધી ફેલાવું, સ્ક્રીન લોકિંગ, કૂકીઝ અને બ્રાઉઝર પાસવર્ડ્સની ચોરી અને ઓપનએસએચ(OpenSSH) કી ચોરી શામેલ છે.

ટ્રિકબોટ આવી બાબતોને વધુ વિકટ બનાવવા માટે રયુંક(Ryuk) અને કોન્ટી(Conti) રેન્સમવેર પાછળના ધમકીવાળા ગુનેગારોને એક્સેસ આપીને હુમલો પૂરો કરવા માટે જાણીતું છે.

ટ્રિકબોટે આવૃત્તિ 100 માં નવા ફ્યુચર્સ ઉમેર્યા

માઇક્રોસોફ્ટ અને તેમના ભાગીદારો દ્વારા ગયા મહિને ટ્રિકબોટ ઇન્ફ્રાસ્ટ્રક્ચર સામે સંકલનપૂર્ણ હુમલો કરવામાં આવ્યા પછી, એવી આશા રાખવામાં આવી હતી કે તેમને પુન રીકવર થવામાં થોડો સમય લાગશે.

દુર્ભાગ્યવશ, ટ્રિકબોટ ગેંગ હજી પણ આગળ વધી રહી છે, જેમ કે ટ્રિકબોટ માલવેરના 100 મા  બિલ્ડના રીલીઝ દ્વારા દર્શાવવામાં આવ્યું છે.

આ નવીનતમ બિલ્ડને એડવાન્સ્ડ ઇન્ટેલની વિતાલી ક્રેમેઝ દ્વારા શોધી કાઢ્યું  હતું, જેમણે શોધયું હતું કે તેઓએ નવી સુવિધાઓ ઉમેરી તેને ડીટેકટ કરવું મુશ્કેલ બનાવ્યું છે.

આ રીલીઝ સાથે, ટ્રિકબોટ હવે તેના ડીએલએલ(DLL) ને 'મેમોરીમોડ્યુલ'('MemoryModule') પ્રોજેક્ટમાંથી કોડનો ઉપયોગ કરીને સીધા જ મેમરીમાંથી એક્ઝેક્યુટેબલ કાયદેસર વિન્ડોઝ wermgr.exe (વિન્ડોઝ પ્રોબ્લેમ રિપોર્ટિંગ) માં ઇન્જેક્ટ કરી રહ્યું છે.

"મેમોરીમોડ્યુલ એ એક લાઇબ્રેરી છે જેનો ઉપયોગ ડિસ્ક પર સ્ટોર કર્યા વિના - મેમરીમાંથી સંપૂર્ણપણે ડીએલએલ લોડ કરવા માટે થઈ શકે છે,"

શરૂઆતમાં એક્ઝેક્યુટેબલ તરીકે શરૂ કરાયેલ, ટ્રિકબોટ પોતાને wermgr.exe માં ઘુસાડશે અને પછી મૂળ ટ્રિકબોટ એક્ઝેક્યુટેબલને સમાપ્ત કરશે.

                                                   TrickBot injected into Wermgr.exe

ક્રેમેઝના જણાવ્યા મુજબ, જ્યારે ડી.એલ.એલ.ને ઇન્જેક્શન આપ્યું ત્યારે, તે સિક્યોરીટી સોફ્ટવેર દ્વારા તપાસથી બચવા માટે ડોપેલ હોલોઇંગ અથવા પ્રક્રિયા ડોપેલગેંગની મદદથી કરશે.

સુરક્ષા સંશોધનકર્તા ફ્રાન્સેસ્કો મ્યુરોની દ્વારા આ તકનીક પરનો લેખન સમજાવે છે કે "આ તકનીક ટ્રાંઝેક્શનનો ઉપયોગ કરે છે, એનટીએફએસ(NTFS)નું એક લક્ષણ જે ફાઇલ સિસ્ટમ પર ક્રિયાઓના સમૂહને એક સાથે જૂથ કરવાની મંજૂરી આપે છે, અને જો તેમાંથી કોઈપણ ક્રિયાઓ નિષ્ફળ થાય છે, તો સંપૂર્ણ રોલબેક થાય છે. ઇન્જેક્ટર પ્રક્રિયા એક નવો વ્યવહાર બનાવે છે, જેની અંદર તે દૂષિત પેલોડવાળી નવી ફાઇલ બનાવે છે. તે પછી લક્ષ્ય પ્રક્રિયાની અંતર્ગત ફાઇલનો નકશો બનાવે છે અને આખરે વ્યવહાર પાછું ફેરવે છે દેખાશે કે ફાઇલ ક્યારેય અસ્તિત્વમાં નથી, તેમ છતાં તેની સામગ્રી પ્રક્રિયા મેમરીમાં હોય છે. "

જેમ તમે જોઈ શકો છો, ટ્રિકબોટ ગેંગે તેમના ઇન્ફ્રાસ્ટ્રક્ચરના ભંગાણને તેમને પાછું લાવી રાખવાની મંજૂરી આપી નથી, અને તેઓ માલવેરને શોધી કાઢવા-અટકાવવા માટે નવી સુવિધાઓને એકીકૃત કરવાનું ચાલુ રાખે છે.

દુર્ભાગ્યવશ, આનો અર્થ એ છે કે ટ્રિકબોટ અહીં નજીકના ભવિષ્ય માટે રહેવાનો છે, ગ્રાહકો અને એન્ટરપ્રાઇઝે મહેનતું રહેવું જોઈએ અને તેઓ કયા ઇમેઇલ જોડાણો ખોલે છે તે વિશે સાવધાન-સચેત રહેવાની જરૂર છે.

સ્ત્રોત : બ્લીપિંગ કમ્પ્યુટર લેખક : લોરેન્સ અબ્રામ્સ

લોરેન્સ અબ્રામ્સ એ બ્લીપિંગ કમ્પ્યુટરના નિર્માતા અને માલિક છે. લોરેન્સની કુશળતાના ક્ષેત્રમાં મwareલવેર દૂર કરવું અને કમ્પ્યુટર ફોરેન્સિક્સ શામેલ છે. લreરેન્સ અબ્રામ્સ વિંટરનલ્સ ડિફ્રેગમેન્ટેશન, રિકવરી અને એડમિનિસ્ટ્રેશન ફીલ્ડ ગાઇડના સહ લેખક છે અને ડમીઝ માટે રૂટકિટ્સના તકનીકી સંપાદક છે.