ព័ត៌មាន

ការវាយប្រហារកម្រិតខ្ពស់នៃមេរោគRetefe Banking Malware ទៅលើអ្នកប្រើប្រាស់ Windows និង Mac តាមរយៈការប្រើប្រាស់ឯកសារ Word

Tuesday, ទី7 May, ឆ្នាំ2019 20:05 pm 0

ក្រុមអ្នកស្រាវជ្រាវរកឃើញមេរោគស្មុគស្មាញថ្មីមានឈ្មោះថា Retefe។  វាកំណត់គោល​ដៅ លើអ្នកប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការWindows និង Mac លើប្រព័ន្ធអ៊ី​ន​ធឺណិត​តាមរយៈប្រព័ន្ធ .Retefe malware ដំបូងបង្អស់ដែលបង្ហាញខ្លួនក្នុងឆ្នាំ២០១៨។ ចាប់​តាំងពីពេលនោះ​មកវា​ វាយប្រហារផ្តោតលើជនរងគ្រោះដែលរស់ក្នុងប្រទេសជាច្រើនរួមមានប្រទេសស្វីស និងអា​ល្លឺម៉ង់ ជាពិសេសមេរោគមួយចំនួនដែលប្រើ Tor សម្រាប់អ៊ិនគ្រីប​មេរោគ​ដោយ​ប្រើប្រូកស៊ី។

គេហៅវាថា Stunnel លើ​ម៉ាស៊ីន​បម្រើ C2 ដែល​បន្ថែម​មុខងារ​បម្លែង TLS ទៅ​លើប្រព័ន្ធ​មេ​រោគ ដែលគ្មានការផ្លាស់ប្តូរកូដរបស់កម្មវិធី។ អ្នកសរសេរកម្មវិធីមេរោគបំពានលើកម្មវិធី​មានឈ្មោះថា “Convert PDF to Word Plus 1.0”   និងបន្ថែមស្គ្រីប python ដែលអាច​ប្រតិ​បត្តិ និងរក្សាទុកម៉ាស៊ីនវេចខ្ចប់ UPX ។ អ្នកស្រាវជ្រាវរកឃើញកម្មវិធី shareware ដែល រងការបំពានក្នុងឃ្លាំងផ្ទុកសាធារណៈ ដែលត្រូវគេសម្របសម្រួល។

ដំណើរការឆ្លងមេរោគ

ដំបូងជនរងគ្រោះបើកដំណើរការឯកសារ។ វាសរសេរឯកសារពីរផ្សេងគ្នា (convert-pdf-to-word plus.exe និង convert-pdf-to-word-plus_driver.exe) នៅក្នុងម៉ាស៊ីនរបស់​ជនរង​គ្រោះទៅក្នុងថត% TEMP% និងប្រតិបត្តិមេរោគ។ អ្នកស្រាវជ្រាវជឿថា ការបម្លែង pdf -to-word-plus.exe គឺជាកម្មវិធីដម្លើងស្របច្បាប់សម្រាប់កម្មវិធី ” convert-pdf-to-word-plus.exe  ទៅជា“Convert PDF to Word Plus”  ហើយវាទទួលប្រតិបត្តិជាក្លែងបន្លំ។ ក្នុងករណីនេះ Convert-pdf-to-word-plus_driver.exe ត្រូវគេថា​ជាកម្មវិធីព្យាបាទដែលទម្លាក់ ​និងទាញយក​ឯកសារ Zip ហើយនឹង stunnel ពីកញ្ចប់របស់ខ្លួន​ហើយក្រោយមកវាធ្វើការឌិគ្រីប និងប្រតិ​បត្តិ​កូដ JavaScript Retefe ។

ក្រុមអ្នកស្រាវជ្រាវសង្កេតឃើញថា មេរោគ Retefe ត្រូវគេបញ្ជូន​តាមរយៈឧបករណ៍ផ្ទុកផ្សែងតាមរយៈកញ្ចប់ភ្ជាប់វត្ថុនិងការបង្កប់ (OLE) ។  យោងទៅ​តាម​ភស្តុ​តាងបង្ហាញថា ចំណុចនៃការស្រាវជ្រាវមិនទាន់មានភាពច្បាស់ថា ហេតុអ្វីជាអ្នកនិ ពន្ធមេរោគ Retefe មិនប្រើ Tor ក្នុង stunnel ។​ទោះជាយ៉ាងណាក៏​ដោយគេ​សង្ស័យ​ថាការ​ប្រើ​ផ្លូវ​​រូងក្រោយដោយមិនប្រើ Tor មានការតភ្ជាប់​ដែលមាន​សុវត្ថិភាពជាងពី​ព្រោះវាលុប​បំបាត់​លទ្ធភាពការជ្រៀតចែងលើ hops រវាងថ្នាំង Tor ។ Tor ក៏ជាមូលហេតុការរំខាន ដូច្នេះវាផ្តល់ ភាពងាយ​ស្រួលក្នុងការរកឃើញ​ជាងប្រើ stunnel ​ ដែលបង្ហាញការភ្ជាប់ SSL ខាងក្រៅ​ណាមួយផ្សេងទៀត។

យុទ្ធនាការនោះផ្តោតលើម៉ាស៊ីនមេរបស់ Windows ប៉ុន្តែយុទ្ធនាការ​បច្ចុប្បន្នផ្ដោតទៅលើម៉ាក្រូដោយប្រើប្រាស់កំណែកម្មវិធី Adobe Installer ក្លែងក្លាយដែលចុះ​ហត្ថ​លេខា​របស់អ្នកអភិវឌ្ឍន៍ដើម្បីផ្តល់នូវឱកាសចំពោះការបង់ប្រាក់របស់ពួកគេ។ តាមរយៈ ការប្រើប្រព័ន្ធចុះហត្ថលេខា ភ្នាក់ងារព្យាយាមបញ្ចៀសកម្មវិធីសុពលភាព GateKeeper ខាងក្នុង macOS ដែលអាចពិនិត្យមើលថា តើកម្មវិធីទទួលការចុះហត្ថលេខាដោយទទួល​វិញ្ញាបនបត្រ​ពីអ្នកអភិវឌ្ឍន៍ដែលត្រឹមត្រូវមុនពេលដំណើរការ។ “

Retefe មានភាពមិន ធម្មតាក្នុងការប្រើប្រាស់ប្រូកស៊ីដើម្បីប្តូរទិសជនរងគ្រោះលើទំព័រធនាគារក្លែងក្លាយសម្រាប់ការលួចព័ត៌មានសម្ងាត់ជំនួសឱ្យការប្រើប្រាស់អ៊ិនធឺណិតក្នុងការវាយប្រហារដោយប្រើ Trojans.​Liveware លើផ្នែកហិរញ្ញវត្ថុ។ អ្នកសរសេរកម្មវិធីកំចាត់មេរោគ​កំពុងអភិវឌ្ឍន៍​មេរោគជាមួយ​ដោយប្រើបច្ចេកទេសច្នៃប្រឌិតថ្មី ចម្លងទៅកាន់គោលដៅ ​និងលួចព័ត៌មានផ្ទាល់ខ្លួន និង​ហិរញ្ញ​​វត្ថុជា​ច្រើន។

image

image

Tags: