ટ્રેન્ડ માઇક્રોએ નવા હુમલામાં પૃથ્વી પ્રીટા ડોજિંગ એન્ટીવાયરસને શોધી કા .્યો છે, મ mal લવેર જમાવટ તપાસમાં ઇએસઇટી એન્ટિવાયરસ ઇન્સ્ટોલ કરેલી છે કે નહીં તે દૂષિત કોડને ઇન્જેક્શન આપવા માટે કાયદેસર પ્રક્રિયાઓ ઇન્સ્ટોલ કરેલી છે કે નહીં
પૃથ્વી પ્રીટા અને મસ્તાંગ પાંડા તરીકે ટ્રેક થયેલ ચાઇનીઝ હેકિંગ જૂથને કાયદેસર પ્રક્રિયાઓમાં દૂષિત કોડને ઇન્જેક્શન આપીને એન્ટીવાયરસ સ software ફ્ટવેરને ડોજ કરવા માટે માઇક્રોસ .ફ્ટ એપ્લિકેશન વર્ચ્યુઅલાઇઝેશન ઇન્જેક્ટરનો ઉપયોગ કરીને જોવામાં આવ્યો છે.
ટ્રેન્ડ માઇક્રોની ધમકી શિકાર ટીમના નવા સંશોધનથી બહાર આવ્યું છે કે કેવી રીતે જૂથ સેટઅપ ફેક્ટરી, તૃતીય-પક્ષ વિન્ડોઝ ઇન્સ્ટોલર બિલ્ડર, ડ્રોપ અને એક્ઝિક્યુટિવ દૂષિત પેલોડ્સ માટે ઉપયોગ કરી રહ્યું છે.
પૃથ્વી પ્રીટાના ધ્યાન મોટાભાગે એશિયા-પેસિફિક ક્ષેત્રની આસપાસ ફરે છે, જૂથે તાજેતરના હુમલાઓમાં તાઇવાન, વિયેટનામ અને મલેશિયાને લક્ષ્યાંક બનાવ્યો છે.
એન્ટીવાયરસ સ software ફ્ટવેર
આ હુમલો પૃથ્વી પ્રીટા ભાલા-પીડિત સાથે શરૂ થાય છે અને આઇઆરએસઈટીઅપ.એક્સીનો ઉપયોગ કરીને પ્રોગ્રામડેટા/સત્ર ડિરેક્ટરીમાં કાયદેસર અને દૂષિત ફાઇલોનું મિશ્રણ જમા કરે છે. ફાઇલોના આ મિશ્રણની અંદર સમાયેલ કાયદેસર ઇલેક્ટ્રોનિક આર્ટ્સ (ઇએ) એપ્લિકેશન (ઓરિજિનલેગસીક્લી.એક્સી) છે જેનો ઉપયોગ એક સંશોધિત ટોનેશેલ બેકડોર, ઇએકોર.ડીએલને સાઇડલોડ કરવા માટે થાય છે.
જ્યારે આ થઈ રહ્યું છે, ત્યારે વપરાશકર્તાઓને પેલોડ જમાવટથી વિચલિત કરવા માટે એક ડેકોય પીડીએફ અગ્રભૂમિમાં લોડ થાય છે. ટ્રેન્ડ માઇક્રો સંશોધકો દ્વારા અભ્યાસ કરાયેલા વેક્ટરમાં, પીડીએફ, મલ્ટીપલ લો એન્ફોર્સમેન્ટ એજન્સીઓ દ્વારા સપોર્ટેડ એન્ટિ-ક્રાઇમ પ્લેટફોર્મમાં ઉમેરવા માટે ફોન નંબરોની સૂચિમાં વપરાશકર્તાના સહયોગની માંગણી કરે છે.
પૃષ્ઠભૂમિમાં, EACORE.DLL ફાઇલ તપાસ કરી રહી છે કે ESET એન્ટીવાયરસ સાથે સંકળાયેલ બે ફાઇલો ઉપકરણ પર ચાલી રહી છે – Ekrn.exe અને egui.exe. જો ક્યાં તો ફાઇલ સિસ્ટમ પર શોધી કા .વામાં આવે છે, તો ઇએકોર.ડી.એલ.એલ.એલ.આર.
એન્ટિવાયરસને બાયપાસ કરવા માટે, મ mal લવેર પછીની પ્રક્રિયામાં દૂષિત કોડને ઇન્જેક્શન આપવા માટે વેઇટફોર.એક્સીના શોષણ માટે મેવિનજેકટ.એક્સીનો ઉપયોગ કરશે. વેઇટફોર.એક્સી ફંક્શનનો ઉપયોગ સિગ્નલ અથવા આદેશ પ્રાપ્ત થયા પછી પ્રક્રિયાઓને સિંક્રનાઇઝ કરવા અથવા કોઈ વિશિષ્ટ ક્રિયાને ટ્રિગર કરવા માટે થાય છે, અને તેથી તે સામાન્ય રીતે એન્ટિવાયરસ સ software ફ્ટવેર દ્વારા અવગણવામાં આવે છે કારણ કે તે કાયદેસર અને વિશ્વસનીય સિસ્ટમ પ્રક્રિયા છે.
જો ઇએસઇટી સાથે સંકળાયેલ ફાઇલો શોધી કા .વામાં આવતી નથી, તો અપવાદ હેન્ડલરને ટ્રિગર કરવામાં આવે છે જેના કારણે વેઇટફોર.એક્સી દ્વારા સીધા જ દૂષિત કોડને લેખનપ્રોસેસમેમરી અને ક્રિએટરમ ote ટથ્રેડેએક્સ એપીઆઇનો ઉપયોગ કરીને ઇન્જેક્શન આપવામાં આવે છે. અંતે, મ mal લવેર ધમકી અભિનેતા નિયંત્રિત આદેશ અને નિયંત્રણ (સી 2) સર્વર સાથે જોડાણ સ્થાપિત કરશે.
એટેક વેક્ટરની અન્ય ઝુંબેશ દ્વારા અવલોકન કરવાને કારણે વલણવાળું.
