ព័ត៌មាន

Trickbot trojan ធ្វើការឈ្លានពានទៅលើ Proofpoint gateway តាមរយៈការប្រើប្រាស់ Google Docs

ខ្លឹមសារ៖នៅពេលជនរងគ្រោះចុចលើតំណរភ្ជាប់ ពួកគេត្រូវបានបញ្ជូនទៅទំព័រ Google Docs ពិតប្រាកដដែលមានសារកំហុស ៤០៤ ក្លែងក្លាយ និងតំណភ្ជាប់ផ្សេងទៀត។ មេរោគត្រូវអ្នកប្រើប្រាស់ទាញយកក្រោមរូបភាពជាឯកសារ PDF នៅលើកុំព្យូទ័ររបស់ជនរងគ្រោះ។ Trojan Trickbot ដែលមិនចេះរីងស្ងួតមិនដែលទុកឱកាសឱ្យអ្នកវិភាគសន្តិសុខដឹងខ្លួនឡើយ។ ពេលនេះមេរោគឆ្លងកាត់ច្រកចេញចូលរបស់ Proofpoint ដោយប្រើតំណ Google Docs។

តើវាដំណើរការយ៉ាងដូចម្តេច?

យោងតាមប្រភពក្រុមអ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន Cofense បានអោយដឹងថា ក្រុមអ្នកគំរាម  គំហែងនៅពីក្រោយយុទ្ធនាការឆបោក Trickbot បង្កប់នៅក្នុងតំណ Google Docs ។ ដោយសារ Google Docs គឺជាកម្មវិធីដែលគួរទុកចិត្ត និងស្របច្បាប់ ហើយវាអាចអោយអ្នកគំរាមគំហែងឆ្លងផ្លូវអ៊ីមែលហើយទាក់ទាញអ្នកប្រើប្រាស់ឱ្យចុចលើតំណភ្ជាប់។ នៅពេលជនរងគ្រោះចុចលើតំណរភ្ជាប់ ពួកគេនឹងបញ្ជូនបន្តទៅទំព័រ Google Docs ដែលមានសារកំហុស ៤០៤ ក្លែងក្លាយ និងតំណភ្ជាប់ផ្សេងទៀត។ បន្ទាប់មក អ្នកទទួលបោកបញ្ឆោតឱ្យអ្នកប្រើប្រាស់ទាញយកឯកសារតាមរយៈតំណដែលជាបន្ទុកដ៏អាក្រក់។ បន្ទុកអាក្រក់នោះត្រូវអ្នកប្រើប្រាស់ទាញយកជាទម្រង់ឯកសារ PDF នៅលើកុំព្យូទ័ររបស់ជនរងគ្រោះ។

តើមានអ្វីកើតឡើងបន្តទៀត?

នៅពេលដែលមេរោគមានប្រតិបត្តិការ វាបង្កើតច្បាប់ចម្លងខ្លួនវានៅក្នុង C: ProgramData ជាកន្លែងដែលវាគ្រប់គ្រងលើការប្រតិបត្តិរបស់មេរោគ។ លើសពីនេះទៀត វាបង្កើតច្បាប់ចម្លងមួយទៀតនៅក្នុង “ C: Users REM AppData Roaming speedLan” ដែលមានទាំងទាំងឯកសារកំណត់រចនាសម្ព័ន្ធសម្រាប់ Trickbot ផងដែរ។ Trojan ក៏កំណត់សកម្មភាពដែលចាប់ផ្តើមពីកញ្ចប់ឯកសារព្យាបាទ“ Speedlan” ។ ដោយក្រឡេកមើលផ្ទាំង Triggers tab អ្នកស្រាវជ្រាវកត់សម្គាល់ថា វាត្រូវបានកំណត់ឱ្យធ្វើម្តងទៀតរៀងរាល់ ១១នាទីម្តងសម្រាប់ ៥៩៦៨៤៣ នាទីសំរាប់ Trickbot ប្រភេទច្បាស់លាស់ណាមួយ។

image

image