មេរោគថ្មីឈ្មោះ Predator the Thief បញ្ចូនភ្នាក់ងារតាមរយៈឯកសារវិក័យប័ត្រក្លែងក្លាយក្នុងគោលបំណងលួចយកព័ត៌មានសំខាន់។ ក្រុមការងារ Fortinet សង្កេតឃើញមេរោគ Predator the Thief ដំបូងនៅក្នុងខែកក្កដា ឆ្នាំ២០១៨។ មេរោគនោះជាអ្នកគំរាមគំហែងនៅពីក្រោយក្រុមគ្រួសារមេរោគអាប់ដេតដែលមានសមត្ថភាពកាន់តែមានភាពរឹងមាំ។ វាត្រូវសរសេរនៅក្នុង C / C ++ និងដាក់លក់នៅក្នុងវេទិកាងងឹតមានតម្លៃពី៣៥ ទៅ៨០ ដុល្លារ។
យុទ្ធនាការរបស់មេរោគ Predator the Thief Latest
ក្រុមការងារ Fortinet សង្កេតមើលយុទ្ធនាការរបស់ Predator the Thief ជាមួយនឹង version 3.3.4 ដែលមានសមត្ថភាពខ្ពស់។ យុទ្ធនាការនោះប្រើឯកសារវិក័យប័ត្រក្លែងក្លាយជាច្រើន ដែលជាភ្នាក់ងារជញ្ចូនមេរោគ Predator the Thief ជា payload ចុងក្រោយ។ នៅពេលដែលអ្នកប្រើប្រាស់បើកឯកសារ Word មុខងារ AutoOpen macro នឹងដំណើរការស្គ្រីបមេរោគ VBA ដោយទាញយកឯកសារចំនួនបីដោយប្រើប្រាស់ Powershell។
ដំណើរការបស់មេរោគ
- VjUea.dat – Legitimate ជា version របស់ AutoIt3.exe
- SevSS.dat – Base64-អ៊ីនគ្រីបកូដស្គ្រីប AutoIt ដែលប្រើ uses certutil.exe សម្រាប់ការឌីកូដ
- apTz.dat – RC4-អ៊ីនគ្រីបមេរោគ Predator the Thief malware
SevSS.dat scriptទទួលការឌីកូដតាមរយៈកាប្រើប្រាស់ tool ឈ្មោះ certutil.exe ដោយនៅពេលវាដំណើរការវានឹងប្រើប្រាស់ AutoIt3.exe ដើម្បីដំណើរការ AutoIt script។ ក្រោយមកស្គ្រីប AutoIt script ធ្វើការឌីគ្រីប apTz.dat ដែលជា payload ចុងក្រោយរបស់មេរោគ Predator the Thief។ មេរោគផ្ញើរព័ត៌មានដែលលួចជាកញ្ចប់ឯកសារ(zip file) ដោយ zip file នឹងមិនមានដំណើរការលើប្រព័ន្ធឯកសារទេ តែវាបន្ថែម zip file ដយផ្ទាល់ទៅមេម៉ូរ៉ីដើម្បីស្នើរសុំទិន្ន័យ។
បណ្តាញទំនាក់ទំនងម៉ាស៊ីន C2 Server
បណ្តាញទំនាក់ទំនងជាមួយម៉ាស៊ីន C2 ធ្វើឡើងនៅលើ API ហើយបណ្តាញទាំងនោះទទួលការអ៊ីនគ្រីបដោយប្រើមូលដ្ឋាន base64 និងក្បួន RC4។ ព័ត៌មានខាងក្រោមត្រូវមេរោគប្រមូល និងផ្ញើរទៅកាន់ម៉ាស៊ីន C2៖
ព័ត៌មានលេខសម្ងាត់
Cookies
កាតបង់ប្រាក់
ព័ត៌មានគណនី Steam, Skype
ព័ត៌មាន Wallets Information
គណនីTelegram
លទ្ធផលរបស់ Crc32 checksum anti-debug
រចនាសម្ព័ន្ធវិធីសាស្រ្តប្រតិបត្តិម៉ូឌុល
មេរោគនៅតែបន្តវិវត្ត និងប្រើឧបករណ៍ស្របច្បាប់ដើម្បីអនុវត្តផ្ទុក payload និងគេចពីការរកឃើញ។