ព័ត៌មាន

សូមប្រុងប្រយ័ត្ន! ការអាប់ដេត Browser ក្លែងក្លាយកំពុងតែចែកចាយមេរោគ Ransomware & Banking Malware ទៅក្នុងកុំព្យូទ័ររបស់អ្នក

អ្នកស្រាវជ្រាវថ្មីៗនេះរកឃើញយុទ្ធនាការធ្វើបច្ចុប្បន្នភាពក្លែងក្លាយដែលមានគ្រោះថ្នាក់ដែលត្រូវ បញ្ជូនទៅកុំព្យូទ័រគោលដៅតាមរយៈការធ្វើបច្ចុប្បន្នភាពក្លែងក្លាយ។  ភ្នាក់ងារគំរាមកំហែងផ្សព្វផ្សាយកម្មវិធីរុករកក្លែងក្លាយនេះភាគច្រើនតាមរយៈវេបសាយសម្រប សម្រួលដែលមាន WordPress ហើយអ្នកវាយប្រហារប្រើវេបសាយ CMS។

 image

គេហទំព័ររាប់ពាន់ត្រូវប្រើយុទ្ធនាការនេះរួមជាមួយដំណាក់កាលផ្សេងៗនៃដំណើរការឆ្លងមេរោគ ដោយដាក់បញ្ចូលស្គ្រីបព្យាបាទពីទំព័រវេបសាយត្រឹមត្រូវ។  ការធ្វើបច្ចុប្បន្នភាពក្លែងក្លាយអះអាងថាការលេចឡើងមកពី “មជ្ឈមណ្ឌលធ្វើបច្ចុប្បន្នភាព” ផ្អែកលើ ប្រភេទកម្មវិធីរុករកដោយនិយាយថា “កំហុសធ្ងន់ធ្ងរមួយកើតឡើងដោយសារតែ browser ដែលហួសសម័យសូមធ្វើបច្ចុប្បន្នភាព browser របស់អ្នកឱ្យឆាប់តាមដែលអាចធ្វើ។ ”  អ្នកវាយប្រហារជំរុញការធ្វើឱ្យទាន់សម័យក្លែងក្លាយដោយផ្អែកលើ browserដែលប្រើដោយជន រងគ្រោះដើម្បីចូលទៅកាន់គេហទំព័រដែលសម្របសម្រួលហើយពួកគេព្យាបាទ browser ដែលគេប្រើ យ៉ាងទូលំទូលាយរួមទាំងសារសម្រាប់ Chrome, Internet Explorer, and Edge browsers។

image

ក៏មានការជំរុញអ្នកប្រើឱ្យទាញយក និងដំឡើងការធ្វើបច្ចុប្បន្នភាពដើម្បីចៀសវាង “ការបាត់បង់ ទិន្នន័យផ្ទាល់ខ្លួន និងទុកទិន្នន័យ ការសម្ងាត់លេចធ្លាយ និង browser errors” ដែលអ្នកអាចជួបនូវ រូបភាពខាងលើនេះ។  តំណភ្ជាប់ធ្វើឱ្យទាន់សម័យចង្អុលបង្ហាញពីគេហទំព័រខ្លះដែលមានការសម្រុះសម្រួលដែលជាកន្លែង ដែលភ្នាក់ងារគំរាមកំហែងផ្ទុកឯកសារ exe និង zip ដែលទីបំផុតនឹងធ្លាក់ចូលទៅក្នុងកុំព្យូទ័រ ជនរងគ្រោះ។

 ដំណើរការឆ្លងមេរោគកម្មវិធីធ្វើឱ្យទាន់សម័យក្លែងក្លាយ (Fake Browser Update)

ដំបូងក្រុមអ្នកវាយប្រហារជ្រើសរើស 2 វិធីបញ្ចូលតំណភ្ជាប់ទៅស្គ្រីបខាងក្រៅ ឬបញ្ចូលកូដស្គ្រីបទាំង មូលទៅក្នុងទំព័របណ្តាញ web page។ ក្រុមអ្នកស្រាវជ្រាវមកពី Sucuri រៀបរាប់ពីតំណភ្ជាប់ខាងក្រៅ មួយចំនួនដែលប្រើដោយយុទ្ធនាការនេះ: 

  • hxxps: //wibeee.com [. ] ua / wp-content / themes / wibeee / assets / css / update.js – 225 គេហទំព័រដែលឆ្លងមេរោគ។

  • hxxp: //kompleks-ohoroni.kiev [។ ] ua / wp-admin / css / colors / blue / update.js – 54 សម្រាប់លើកទី2។

  • hxxp: // quoidevert [។ ] com / templates / shaper_newsplus / js / update.js – 198 គេហទំព័រទៀតដែលឆ្លងមេរោគ ។

Fake browser ធ្វើឱ្យទាន់សម័យក្លែងក្លាយបង្កើតឡើងពី update.js file ទាំងនេះដែលមានស្គ្រីប ហាមឃាត់រួមជាមួយតំណទាញយកឯកសារធ្វើបច្ចុប្បន្នភាពក្លែងក្លាយ។

នៅពេលដែលជនរងគ្រោះចុចលើតំណភ្ជាប់ថ្មីៗតំបន់បណ្ដាញទម្លាក់ឯកសារហ្ស៊ីបដែលមានទំហំតូចណាស់ប្រហែល 3 គីឡូម៉ែត្រ ដែលមិនមានទំហំគ្រប់គ្រាន់ដើម្បីឱ្យមានមេរោគ មានមូលដ្ឋានលើ window ទេ។ ការវិភាគបន្ថែមទៀតពីអ្នកស្រាវជ្រាវម្នាក់ឈ្មោះ Peter Gramantik បង្ហាញថាមាន .js file ដែលមានតួអក្សរ space ចំនួន 100 ដែលប្រើដើម្បីលាក់ file extention។  “ក្នុងករណីនេះកូដ ព្យាបាទប្រើមុខងារ Windows Script Host ដើម្បីទាញយកឯកសារខាងក្រៅ ប្រតិបត្តិពួកវា ហើយ បន្ទាប់មកលុបចោល”។ នេះបើយោងតាម ​​Sucuri ស្គ្រីបព្យាយាមទាញយកឯកសារ browser.jpg ពីគេហទំព័រភាគីទីបីដែលសម្របសម្រួល។ អ្នកមិនគួរចាញ់បោកបញ្ឆោតដោយការរីករាលដាល .jpg extention ទេ និងការវិភាគបន្ថែមទៀតនៅក្នុង virustotal បង្ហាញថាឯកសារ JPG file គឺ ransomware មួយ។

ឯកសារបច្ចុប្បន្នភាពកម្មវិធីរុករកក្លែងក្លាយ fake browser រកឃើញថ្មីៗនេះក៏មានផ្ទុកមេរោគ ដែលត្រូវ គេប្រើវិធីសាស្ត្រការឆ្លងដូចគ្នា។ គួរបញ្ជាក់ផងដែរថា Sucuri Stats ថា ដើម្បីតាមដានយុទ្ធនាការរបស់ ពួកគេ ពួក Hacker រួមបញ្ចូលស្គ្រីប Histats ទៅគ្រប់កំណែនៃមេរោគរបស់ពួកគេ។ នៅចំណុចនេះពួកគេប្រើ two Histats ids ដែលចំលងមេរោគជាង 1500 websites៕