ព័ត៌មាន

មេរោគ Malware ‘Predator the Thief’ សម្រាប់លួចលេខសម្ងាត់ត្រូវចែកចាយតាមរយៈការប្រើប្រាស់ឯកសារ Word

មេរោគថ្មីឈ្មោះ Predator the Thief បញ្ចូនភ្នាក់ងារតាមរយៈឯកសារវិក័យប័ត្រក្លែងក្លាយក្នុងគោលបំណងលួចយកព័ត៌មានសំខាន់។ ក្រុមការងារ Fortinet សង្កេតឃើញមេរោគ Predator the Thief ដំបូងនៅក្នុងខែកក្កដា ឆ្នាំ២០១៨។ មេរោគនោះជាអ្នកគំរាមគំហែងនៅពីក្រោយក្រុមគ្រួសារមេរោគអាប់ដេតដែលមានសមត្ថភាពកាន់តែមានភាពរឹងមាំ។ វាត្រូវសរសេរនៅក្នុង C / C ++ និងដាក់លក់នៅក្នុងវេទិកាងងឹតមានតម្លៃពី៣៥ ទៅ៨០ ដុល្លារ។ 

image

យុទ្ធនាការរបស់មេរោគ Predator the Thief Latest

ក្រុមការងារ Fortinet សង្កេតមើលយុទ្ធនាការរបស់ Predator the Thief ជាមួយនឹង version 3.3.4 ដែលមានសមត្ថភាពខ្ពស់។ យុទ្ធនាការនោះប្រើឯកសារវិក័យប័ត្រក្លែងក្លាយជាច្រើន ដែលជាភ្នាក់ងារជញ្ចូនមេរោគ Predator the Thief ជា payload​ ចុងក្រោយ។ នៅពេលដែលអ្នកប្រើប្រាស់បើកឯកសារ Word មុខងារ AutoOpen macro នឹងដំណើរការស្គ្រីបមេរោគ VBA ដោយទាញយកឯកសារចំនួនបីដោយប្រើប្រាស់ Powershell។

image

ដំណើរការបស់មេរោគ

  • VjUea.dat – Legitimate ជា version របស់ AutoIt3.exe
  • SevSS.dat – Base64-អ៊ីនគ្រីបកូដស្គ្រីប AutoIt ដែលប្រើ uses certutil.exe សម្រាប់ការឌីកូដ
  • apTz.dat – RC4-អ៊ីនគ្រីបមេរោគ Predator the Thief malware

SevSS.dat scriptទទួលការឌីកូដតាមរយៈកាប្រើប្រាស់  tool  ឈ្មោះ certutil.exe ដោយនៅពេលវាដំណើរការវានឹងប្រើប្រាស់ AutoIt3.exe ដើម្បីដំណើរការ AutoIt script។ ក្រោយមកស្គ្រីប AutoIt script ធ្វើការឌីគ្រីប apTz.dat ដែលជា payload ចុងក្រោយរបស់មេរោគ Predator the Thief។ មេរោគផ្ញើរព័ត៌មានដែលលួចជាកញ្ចប់ឯកសារ(zip file) ដោយ zip file នឹងមិនមានដំណើរការលើប្រព័ន្ធឯកសារទេ តែវាបន្ថែម zip file ដយផ្ទាល់ទៅមេម៉ូរ៉ីដើម្បីស្នើរសុំទិន្ន័យ។  

បណ្តាញទំនាក់ទំនងម៉ាស៊ីន C2 Server

បណ្តាញទំនាក់ទំនងជាមួយម៉ាស៊ីន  C2 ធ្វើឡើងនៅលើ API ហើយបណ្តាញទាំងនោះទទួលការអ៊ីនគ្រីបដោយប្រើមូលដ្ឋាន base64 និងក្បួន RC4។ ព័ត៌មានខាងក្រោមត្រូវមេរោគប្រមូល និងផ្ញើរទៅកាន់ម៉ាស៊ីន C2៖

  1. ព័ត៌មានលេខសម្ងាត់

  2. Cookies

  3. កាតបង់ប្រាក់

  4. ព័ត៌មានគណនី Steam, Skype

  5. ព័ត៌មាន Wallets Information

  6. គណនីTelegram

  7. លទ្ធផលរបស់ Crc32 checksum anti-debug

  8. រចនាសម្ព័ន្ធវិធីសាស្រ្តប្រតិបត្តិម៉ូឌុល

មេរោគនៅតែបន្តវិវត្ត និងប្រើឧបករណ៍ស្របច្បាប់ដើម្បីអនុវត្តផ្ទុក payload និងគេចពីការរកឃើញ។