ក្រុមអ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន X-Force រកឃើញយុទ្ធនាការដែលមានគំនិតអាក្រក់ហៅថា“ Raccoon” និង“ KPOT” ដែលកំណត់គោលដៅលើអ្នកប្រើប្រាស់ Windows តាមរយៈប្រើប្រាស់អ៊ីម៉ែលក្លែងក្លាយដើម្បីលួចយកទិន្នន័យរងគ្រោះ។ គេជឿថា មេរោគ Raccoon មានដើមកំណើតមកពីពួក Hacker និយាយភាសារុស្ស៊ី ហើយវាបានវាយប្រហារយ៉ាងសកម្មទៅលើស្ថាប័នហិរញ្ញវត្ថុ និងរដ្ឋាភិបាលនៅឆ្នាំមុនជាមួយ Fallout & RIG Exploit Kits ។
យុទ្ធនាការមេរោគនេះផ្តល់បន្ទុកតាមរយៈអ៊ីម៉ែល ដែលមានមេរោគ ដែលចុះហត្ថលេខាដោយប្រើសូហ្វវែរ DocuSign។ ក្រុមហ៊ុន DocuSign គឺជាក្រុមហ៊ុនមួយដែលមានកេរ្តិ៍ឈ្មោះល្អសម្រាប់ឱ្យអង្គភាពគ្រប់គ្រងឯកសារអេឡិចត្រូនិក។ ប្រធានបទឯកសារត្រូវបានគេសំដៅទៅលើ“ ឯកសារ” ឬ“ សន្លឹកកិច្ចការ” ដែលទាក់ទាញជនរងគ្រោះអោយបើកឯកសារ និងផ្ទុកបន្ទុកនៅក្នុងម៉ាស៊ីន windows របស់ជនរងគ្រោះ។
គួរបញ្ជាក់ផងដែរថា អ្នកវាយប្រហារបានផ្ញើរូបភាពស្និទ្ធស្នាលរបស់មិត្តស្រីរបស់គាត់ហើយបានគំរាមអ្នកចែកចាយរូបនោះទៅក្នុងបញ្ជីទំនាក់ទំនងទាំងអស់របស់គាត់ទាំងអស់ ប្រសិនបើជនរងគ្រោះមិនបានបង់លុយចំនួន ៥០០ដុល្លារ។ ការស្រាវជ្រាវថ្មីៗបានរកឃើញដោយក្រុមអ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន IBM X-Force បង្ហាញថា សារចោទប្រកាន់ជាផ្លូវការបញ្ជូនដោយតុលាការ។ គេសន្មត់ថា នេះជាការបំភ័យដល់ជនរងគ្រោះឱ្យជឿថា ពួកគេពិតជាត្រូវបានប្តឹងនៅក្នុងតុលាការចំពោះអ្វីដែលពួកគេមិនដឹង។ អង្គភាពអ៊ីម៉ែលជំរុញឱ្យជនរងគ្រោះពិនិត្យ និងព្រីនឯកសារ និងផ្តល់ពេលវេលាកំណត់សម្រាប់ការឆ្លើយតប និងពន្យល់អំពីផលវិបាក ប្រសិនបើជនរងគ្រោះខកខានមិនបានបើកឯកសារព្យាបាទ។ ទាំងនេះគឺជាការប៉ុនប៉ងចម្បងក្នុងការល្បួងជនរងគ្រោះឱ្យបើកឯកសារភ្ជាប់ដើម្បីប្រតិបត្តិបន្ទុកបន្ទុកមេរោគរបស់អ្នកវាយប្រហារ។
នៅពេលបើកឯកសារព្យាបាទ វានៅតែជម្រុញឱ្យអ្នកប្រើប្រាស់ចុចលើ““Enable content ” ដែលជួយពួកគេប្រតិបត្តិម៉ាក្រូមេរោគនៅលើម៉ាស៊ីន Windows។ អ៊ីម៉ែលទាំងអស់មានមាតិកាម៉ាក្រូដូចគ្នា។ ដរាបណាម៉ាក្រូកំពុងដំណើរការពាក្យបញ្ជា PowerShell ត្រូវបានប្រតិបត្តិនៅផ្ទៃខាងក្រោយ។ ពាក្យបញ្ជាខាងលើនឹងទាញយកបន្ទុកលួចព័ត៌មាន Raccoon ដែលបានបង្ហោះនៅគេហទំព័រ corp6 [។ ] ។ នៅក្នុងយុទ្ធនាការនាពេលថ្មីៗនេះជញ្ជូនឱ្យ KPOT និងអ្នកលួចព័ត៌មានមួយផ្សេងទៀតតាមរយៈ URLs ដែលមានកូដថ្មី។ យើងបានឃើញព័ត៌បន្ទុកមេរោគចែកចាយលើគេហទំព័រ [corp6]. និងគេហទំព័រ corp7 [.] ។
វិធានការណ៍
1. កុំចុច ឬបើកតំណនៅក្នុងអ៊ីម៉ែលដោយផ្ទាល់ ដោយវាយ URL នៅក្នុងកម្មវិធីរុករករបស់អ្នកឬស្វែងរកម៉ាក / ក្រុមហ៊ុនតាមរយៈម៉ាស៊ីនស្វែងរកដែលអ្នកចង់បាន។
2. ធានាថាកម្មវិធីប្រឆាំងមេរោគ និងឯកសារពាក់ព័ន្ធបានធ្វើបច្ចុប្បន្នភាព។
3. ស្វែងរកសញ្ញាដែលមានស្រាប់នៃ IOCs ដែលចង្អុលបង្ហាញនៅក្នុងបរិស្ថានរបស់អ្នក។
4. បិទរាល់ URL និង IP ដែលមានមូលដ្ឋាននៅលើ the firewall, IDS, web gateways, routers ដើម្បីដោះស្រាយការគំរាមកំហែងនេះ។
5. រក្សាកម្មវិធី និងប្រព័ន្ធប្រតិបត្តិការឱ្យទទួលបានការជួសជុលដែលចេញផ្សាយពេលបច្ចុប្បន្ន។