Phone City Magazine

 Breaking News
សេចក្តីជូនដំណឹង : សម្រាប់ការអញ្ជើញចូលរួមកម្មវិធីសម្ពោធនាៗ សូមទំនាក់ទំនងទៅកាន់លេខ 010 97 35 45។ ពេលនេះប្រិយមិត្តទាំងអស់របស់ ទស្សនាវដ្តី ទីក្រុងពត៌មានវិទ្យា និងទីក្រុងទូរស័ព្ទ អាចអានទស្សនាវដ្តីទីក្រុងពត៌មានវិទ្យា និងទីក្រុងទូរស័ព្ទនៅលើស្មាតហ្វូនរបស់អ្នកបានដោយសេរី។ សូមចូលទៅកាន់ App Store និងវាយពាក្យថា IT City Magazine ឬចូលទៅកាន់គេហទំព័រ www.itcity.com.kh/dl/download ដើម្បីទាញយកទស្សនាវដ្តី FREE! ផ្សាយពាណិជ្ជកម្មជាមួយទស្សនារដ្តីទីក្រុងទូរស័ព្ទ និងទីក្រុងពត៌មានវិទ្យាដោយឥតគិតថ្លៃ ។ ទំនាក់ទំនងផ្សាយពាណិជ្ជកម្មៈ 010 97 35 45 / 010 67 67 67

🔀 មេរោគ Fileless Banking Trojan កំណត់គោលដៅlលើធនាគាររបស់ប្រេស៊ីលដោយប្រើ Botnet សម្រាប់ទាយយកនិងលួចពត៌មាន

March 15
11:10 am 2019
Like and Share this page:

យើងបានវិភាគមេរោគ malware គ្មានឯកសារ (fileless) ដែលភ្ជាប់ .BAT ជាច្រើននិងឯកសារ batch ពី IoCs ដែលបានរាយការណ៍ដោយក្រុមអ្នកស្រាវជ្រាវលើអ៊ីនធឺណិតដែលអាចបើកអាសយដ្ឋាន IP ដោយទាញយក PowerShell ជាមួយ payload Trojan banking និងដំឡើងឧបករណ៍ hack និងលួចព័ត៌មាន។ យើងបានសង្កេតឃើញថាវាបានលួចព័ត៌មានម៉ាស៊ីននិងអត្តសញ្ញាណរបស់អ្នកប្រើប្រាស់ដោយធ្វើការស្កេនខ្សែអក្សរដែលទាក់ទងនឹងធនាគារប្រេស៊ីលចំនួន 3 (Banco Bradesco, Banco do Brasil និង Sicredi) និងការតភ្ជាប់បណ្តាញផ្សេងទៀតតាមរយៈការរក្សាទុកក្នុង Outlook contacts និងដំឡើងឧបករណ៍ Hack RADMIN។ យើងបានបង្ហាញពីការប៉ុនប៉ងចម្លងមេរោគខ្ពស់បំផុតនៅក្នុងប្រទេសប្រេស៊ីលនិងតៃវ៉ាន់។

 image

ក្រៅពីការចូលប្រើគណនីធនាគាររបស់អ្នកប្រើ PII ដែលលួចបានពីការចូលក្នុងគេហទំព័រនិងកត់ត្រាលិខិតសម្គាល់ក្នុងម៉ាស៊ីនអាចត្រូវបានគេធ្វើលក់។ ដូចគ្នានេះផងដែរដោយពិចារណាទៅលើសេវាកម្មហិរញ្ញវត្ថុដ៏ទូលំទូលាយនិងមូលដ្ឋានអតិថិជននៃធនាគារ គោលដៅទាំងបីនេះយើងកំពុងតាមដានការគំរាមកំហែងដែលកំពុងរីករាលដាលព្រោះវាអាចត្រូវបានប្រើសម្រាប់ការវាយលុកគោលដៅធំៗសម្រាប់ botnet ឬការវាយប្រហារជាច្រើនដែលផ្ញើតាមអ៊ីមែល។

ដំណើរការប្រព្រឹត្ត

image

រូបភាពទី 1: ខ្សែសង្វាក់នៃមេរោគ Fileless banking trojan ដែលផ្ដោតទៅលើធនាគារប្រេស៊ីល 3 និងអតិថិជនរបស់ពួកគេ។

រូបភាពទី 2: ឯកសារ Batch កូដដែលទាញយកស្គ្រីប

រូបភាពទី 3: ការទាញយកស្គ្រីបនិងការប្រតិបត្តិ PowerShell ពី URL ។

រូបភាពទី 4: លុបនិងប្តូរឈ្មោះគំរូដែលមើលទៅដូចជាឯកសារ Windows ដែលត្រឹមត្រូវ។

រូបភាពទី 5: មេរោគ Trojan ចម្លងមេរោគចូលម៉ាស៊ីនដោយចាប់ផ្ដើមមុនពេលប្រមូលព័ត៌មានសម្ងាត់និងអាសយដ្ឋានអ៊ីមែលដែលបានរក្សាទុកតាមរយៈ Outlook ដែលវាផ្ញើទៅកាន់ C & C។

មេរោគបានដំឡើងឧបករណ៍ការ hack RADMIN (រកឃើញដោយ Trend Micro ជា HKTL_RADMIN) ជាមួយឯកសារដែលបានទាញយកពី GitHub និងដំឡើង Desktop ដែលមានឈ្មោះថា RDP Wrapper ។

រូបភាពទី 6: ដំឡើង HKTL_RADMIN

បន្ទាប់ពី reboot ហើយ users  នឹង login ចូលវិញ វានឹងលុបឯកសារ Google ទាំងអស់ .LNK ហើយជំនួសដោយមេរោគ .LNK ដោយការផ្លាស់ប្តូរ .LNK’s ទៅកាន់ cmd.exe /C copy “C:UsersPublicChrome.LNK” ,”%Application Data%MicrosoftInternet ExplorerQuick LaunchUser PinnedImplicitAppShortcutsGoogle Chrome.LNK” ដើម្បីដំណើរការឯកសារមេរោគ។

image

មេរោគ Trojan បញ្ចប់ដោយខ្លួនឯងនៅពេលដែលដំណើរការលើ Version Windows ទាប់ជាង 7, 8, 8.1 និង 10 ពីព្រោះ libraries ដែលប្រើដើម្បីប្រមូលអាសយដ្ឋានអ៊ីមែលទិន្នន័យចូល GoogleChrome និង OPENSSL សម្រាប់ការផ្ទេរបណ្តាញទិន្នន័យដែលបានអ៊ិនគ្រីបរបស់វាទៅ C & C មិនគាំទ្រ Windows XP ឬ Version ចាស់៕

Like and Share this page:

Related Posts


Comments

ជួយគាំទ្រយើងនៅក្នុង Facebook

ទិញលក់ ទំនិញ ពេញ​និយម​ប្រចាំ​សប្ដាហ៍

ចំនួនអ្នកចូលទស្សនា

Today : 620
Yesterday : 7438
This Month : 171977
Last Month : 251680
Total Visitor : 17885728