BRATA Malware

Trojan ធនាគារ BRATA បានបង្ហាញខ្លួនជាលើកដំបូងក្នុងឆ្នាំ 2019 នៅក្នុងប្រទេសប្រេស៊ីល។ ការគំរាមកំហែងបានកំណត់គោលដៅឧបករណ៍ Andoird ហើយមានសមត្ថភាពបង្កើតការថតអេក្រង់ ដំឡើងកម្មវិធីថ្មី និងធ្វើឱ្យឧបករណ៍ដែលឆ្លងមេរោគលេចឡើងដោយការបិទអេក្រង់។ ទោះបីជាយ៉ាងណាក៏ដោយ ចាប់តាំងពីពេលនោះមក ការគំរាមកំហែងបានឆ្លងកាត់ការវិវត្តន៍យ៉ាងឆាប់រហ័សជាមួយនឹងកំណែថ្មីជាច្រើន ដែលនីមួយៗមានសមត្ថភាពពង្រីកការរំខាន។ ជាឧទាហរណ៍ នៅឆ្នាំ 2021 ការគំរាមកំហែងត្រូវបានប្រើប្រាស់ក្នុងយុទ្ធនាការវាយប្រហារប្រឆាំងនឹងអ្នកប្រើប្រាស់នៅអឺរ៉ុប។ អ្នកស្រាវជ្រាវ Infosec បានរកឃើញមេរោគ BRATA ត្រូវបានរីករាលដាលតាមរយៈកម្មវិធីប្រឆាំងសារឥតបានការក្លែងក្លាយ។ ប្រតិបត្តិការគម្រាមកំហែងនេះ ថែមទាំងរួមបញ្ចូលភ្នាក់ងារគាំទ្រក្លែងក្លាយ ដែលទាក់ទាញអ្នកប្រើប្រាស់ឱ្យផ្តល់ឱ្យពួកគេនូវការគ្រប់គ្រងពេញលេញលើឧបករណ៍របស់ពួកគេ។

នៅដើមឆ្នាំ 2022 BRATA កាន់តែមានភាពទំនើបជាងមុន តាមរយៈការបន្ថែមការប្រើប្រាស់ការតាមដាន GPS និងបណ្តាញទំនាក់ទំនងជាច្រើនដើម្បីទៅដល់ម៉ាស៊ីនមេ Command-and-Control (C2, C&C) ។ ការគំរាមកំហែងនេះក៏ទទួលបានមុខងារកំណត់ដូចចេញពីរោងចក្រឡើងវិញ ដែលអនុញ្ញាតឱ្យវាលុបឧបករណ៍ដែលបំពាន បន្ទាប់ពីទិន្នន័យនៅលើពួកវាត្រូវបានដកចេញរួចហើយ។ តួអង្គគំរាមកំហែងក៏បានកែសម្រួលកំណែ BRATA អាស្រ័យលើប្រទេសរបស់អ្នកប្រើប្រាស់គោលដៅ។

ឥឡូវនេះ របាយការណ៍មួយរបស់ Cleafy ដែលជាក្រុមហ៊ុនសន្តិសុខទូរស័ព្ទរបស់អ៊ីតាលី បង្ហាញថា BRATA បានវិវឌ្ឍកាន់តែខ្លាំងឡើង ឈានទៅដល់ការគំរាមកំហែងជាប់លាប់ដែលមានបំណងបិទឧបករណ៍ដែលមានមេរោគ។ មុខងារដែលបានពង្រីកនៃការគំរាមកំហែងរួមមានសមត្ថភាពក្នុងការផ្ញើ ឬស្ទាក់ចាប់សារ SMS ដែលផ្តល់ឱ្យអ្នកវាយប្រហារនូវសមត្ថភាពក្នុងការប្រមូលលេខកូដបណ្តោះអាសន្នដូចជាពាក្យសម្ងាត់តែម្តង (OTP) និងឧបករណ៍ដែលប្រើលើវិធានការសុវត្ថិភាព two-factor authentication (2FA)។ BRATA ក៏អាចទាញយកបន្ទុកដំណាក់កាលទីពីរពី C2 របស់វាផងដែរ។ មេរោគបន្ថែមត្រូវបានទម្លាក់នៅលើឧបករណ៍នេះជាឯកសារ ZIP ដែលមានកញ្ចប់ 'unrar.jar' ។ នៅពេលដែលបានប្រតិបត្តិ នោះ payload ដើរតួជា keylogger ដែលតាមដានព្រឹត្តិការណ៍ដែលបង្កើតដោយកម្មវិធី ហើយកត់ត្រាវានៅក្នុងមូលដ្ឋាន។

ទីបំផុត កំណែមេរោគ BRATA ដែលវិភាគដោយ Cleafy ត្រូវបានគេកំណត់គោលដៅយ៉ាងខ្លាំង។ តាមការពិត តួអង្គគម្រាមកំហែងហាក់ដូចជាកំពុងផ្តោតលើស្ថាប័នហិរញ្ញវត្ថុតែមួយក្នុងពេលតែមួយ។ អ្នកវាយប្រហារនឹងផ្លាស់ទីទៅជនរងគ្រោះបន្ទាប់របស់ពួកគេ លុះត្រាតែការខិតខំប្រឹងប្រែងរបស់ពួកគេត្រូវបានបន្សាបដោយអ្នកមុន តាមរយៈវិធានការប្រឆាំងសុវត្ថិភាព។ ឥរិយាបថនេះផ្តល់ឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនូវឱកាសក្នុងការកាត់បន្ថយយ៉ាងខ្លាំងនូវដាននៃមេរោគ BRATA ។ យ៉ាងណាមិញ ការគំរាមកំហែងនឹងលែងត្រូវការចូលប្រើបញ្ជីកម្មវិធីដែលបានដំឡើងនៅលើឧបករណ៍ដែលបំពាន ហើយយកការចាក់ដែលត្រូវគ្នាពី C2 ។ ឥឡូវនេះ មេរោគបានមកផ្ទុកជាមុនដោយគ្រាន់តែដាក់ការបន្លំមួយប៉ុណ្ណោះ ដោយកាត់បន្ថយចរាចរណ៍ C2 របស់វា និងសកម្មភាពដែលវាត្រូវអនុវត្តនៅលើឧបករណ៍ម៉ាស៊ីន។