ព័ត៌មាន

មេរោគFileless Banking Malware លួចយកព័ត៌មានសម្ងាត់របស់អ្នកប្រើប្រាស់ បញ្ជី Outlook Contacts និងការតម្លើងនូវ Tool ហេគ

Friday, ទី8 March, ឆ្នាំ2019 16:03 pm 0

យុទ្ធនាការមេរោគថ្មីផ្តោតលើការលួចយកព័ត៌មានសម្ងាត់តាមអ៊ីនធឺណិតដើម្បីប្រមូលអាសយដ្ឋានអ៊ីម៉ែលអាជីវកម្មនិងដើម្បីទទួលបានការចូលប្រើម៉ាស៊ីនរបស់ជនរងគ្រោះពីចម្ងាយ។ យោងទៅតាមការវិភាគរបស់ TrendMicro កម្មវិធីកម្ចាត់មេរោគដែលមិនមានឯកសារ​ជា​មួយឯកសារភ្ជាប់ BAT ច្រើនមានសមត្ថភាពបង្កើតការភ្ជាប់ជាមួយអាសយដ្ឋាន IP  និង​ទាញយក payload Trojan PowerShell និងដំឡើងឧបករណ៍ហេគ និងជាអ្នកលួចព័ត៌ មាន។

 image

យុទ្ធនាការមេរោគ ផ្តោតសំខាន់ទៅលើអ្នកប្រើប្រាស់ធនាគារអនឡាញរបស់​ប្រេ ស៊ីល​​និងតៃវ៉ាន់។ មេរោគនេះលួចយកព័ត៌មានលម្អិតពីគណនីធនាគារ​របស់អ្នក​ប្រើប្រាស់ ហើយកត់ត្រាទិន្នន័យដែលបញ្ចូលក្នុងគេហទំព័រដែលអ្នកប្រើចូលនិងកត់ត្រាលិខិតសម្គាល់ម៉ាស៊ីនទុក។ ដោយមានពត៌មានលំអិតត្រលប់មកវិញ​អ្នកវាយប្រហារអាច​ចាប់ផ្តើមលួច​បន្លំ​ដោយ​សំដៅទៅលើបុគ្គលជាក់លាក់។

ខ្សែសង្វាក់ការឆ្លងមេរោគ  

ការឆ្លងមេរោគនេះចាប់ផ្តើមជាមួយនឹងមេរោគ Trojan លើប្រព័ន្ធឯកសារ​ដែលមិនមាន​ការ​ឆ្លងមេរោគ។ដំបូងវាភ្ជាប់ជាមួយ IP ពីចម្ងាយ (hxxp: // 35 [។ ] 227 [។ ] zip) ដើម្បីទាញ យកកូដ PowerShell។ ហើយបន្ទាប់មកទាញយកឯកសារដែលអាចប្រតិបត្តិមេរោគ បានដើម្បីភ្ជាប់ជាមួយ URLs ផ្សេងទៀតដើម្បីទាញយកឯកសារ។

image

ក្រោយមកវានឹងទម្លាក់ ឯកសារ .LNK ក្នុងថតចាប់ផ្ដើមប្រព័ន្ធ ហើយបង្ខំឱ្យប្រព័ន្ធចាប់ផ្ដើមដំណើរការឡើងវិញ ក្នុងរយៈពេលបីនាទីហើយបង្កើតអេក្រង់ចាក់សោបង្ខំអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មានសម្ងាត់ ដើម្បីលុកចូល និងផ្ទៀងផ្ទាត់អត្តសញ្ញាណដែលលុកចូល។ វាផ្ញើអត្តសញ្ញាណដើម្បីបញ្ជា និងគ្រប់គ្រងម៉ាស៊ីនមេហើយលាក់សកម្មភាពរបស់វាដោយការលុបឯកសារទាំងអស់នៅក្នុងថតចាប់ផ្តើមដំណើរការ ហើយមេរោគ Trojan ផ្សេងទៀតប្រមូលផ្តុំអាស័យដ្ឋាន​លេខ​ទំនាក់​ទំនង អ៊ីម៉ែល ដោយបើកចំហរ និងដំឡើងអាស័យដ្ឋានអ៊ីម៉ែល និងផ្ញើវាទៅម៉ាស៊ីន​មេ C & C។

មេរោគនេះក៏ត្រូវគេប្រើដើម្បីទម្លាក់ឧបករណ៍ហេគ RADMIN ដែលផ្តល់ឱ្យអ្នកវាយ ប្រហារនូវដំណើរការចូលពេញលេញទៅលើប្រព័ន្ធមេរោគដោយការចូលទៅកាន់ម៉ាស៊ីនយប្រហារដែលអាចឆ្លងបាន និងអាចទទួលបានកំណត់ត្រារបស់អ្នកប្រើ ហើយថែមទាំងទទួល បានសិទ្ធិជាអ្នកគ្រប់គ្រង និងជាស្រមោលតាមដានលើសកម្មភាពអេក្រង់។ ក្រោយពីមាន ការចាប់ផ្តើមឡើងវិញអ្នកប្រើប្រាស់នឹងលុបឯកសារ Google ទាំងអស់ .LNK ហើយជំនួសវា ដោយឯកសារព្យាបាទ និងលាក់មេរោគនៅផ្នែកបន្ថែមរបស់ Google Chrome ដោយវាត្រួត ពិនិត្យលើគេហទំព័រដែលអ្នកប្រើចូលមើល និងស្វែងរកខ្សែអក្សរដូចជា cvv ឬ digo de seguran និងតាមដានសកម្មភាពរបស់អ្នកប្រើ។

ការវាយតម្លៃថា អ្នកវាយប្រហារបង្រួម គោលដៅរបស់ពួកគេនោះបទឧក្រិដនឹងស្ថិតក្នុងដំណាក់កាលស្រាវជ្រាវ និងអភិវឌ្ឍន៍ ប្រមូលព័ត៌មានពីធនាគារចំនួនបី និងអ្នកប្រើប្រាស់របស់ខ្លួនដើម្បីបង្កើនការវាយប្រហារ ឱ្យកាន់តែធំធេង៕

Tags: