សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង មេរោគ មេរោគ CountLoader

មេរោគ CountLoader

ដោយ Mezo ក្នុង មេរោគ
បកប្រែទៅ៖

អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការចែកចាយមេរោគថ្មីមួយដែលរំលោភបំពានគេហទំព័រដែលផ្តល់ជូនកម្មវិធីលួចចម្លងដើម្បីផ្សព្វផ្សាយវ៉ារ្យ៉ង់ដែលបានធ្វើបច្ចុប្បន្នភាពនៃឧបករណ៍ផ្ទុកម៉ូឌុលសម្ងាត់ដែលគេស្គាល់ថា CountLoader។ តាមរយៈការលួចចូលប្រើប្រាស់ដែលកំពុងស្វែងរកកម្មវិធីដែល crack ប្រតិបត្តិករទទួលបានទីតាំងដំបូងដែលអាចឱ្យមានការចូលប្រើដោយលួចលាក់ ការគេចវេសពីការការពារ និងការចែកចាយឧបករណ៍ព្យាបាទបន្ថែមជាដំណាក់កាល។

តួនាទីរបស់ CountLoader នៅក្នុងការឈ្លានពានច្រើនដំណាក់កាល

នៅក្នុងយុទ្ធនាការនេះ CountLoader ដំណើរការជាសមាសធាតុដំបូងនៅក្នុងខ្សែសង្វាក់វាយប្រហារដ៏ទូលំទូលាយមួយ។ ការស៊ើបអង្កេតពីមុនបានបង្ហាញពីសមត្ថភាពរបស់ loader ក្នុងការដាក់ពង្រាយ payload បន្ទាប់បន្សំជាច្រើន រួមទាំង Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer និង PureMiner។ ភស្តុតាងបង្ហាញថា CountLoader ត្រូវបានប្រើប្រាស់យ៉ាងសកម្មក្នុងការវាយប្រហារក្នុងពិភពពិតចាប់តាំងពីយ៉ាងហោចណាស់ខែមិថុនា ឆ្នាំ២០២៥ ដែលបង្ហាញពីភាពចាស់ទុំ និងការអភិវឌ្ឍជាបន្តបន្ទាប់របស់វា។

ពីការទាញយកក្លែងក្លាយរហូតដល់ការប្រតិបត្តិស្ងាត់ៗ

លំដាប់នៃការឆ្លងមេរោគចាប់ផ្តើមនៅពេលដែលជនរងគ្រោះព្យាយាមទាញយកកម្មវិធីស្របច្បាប់ដែលមានការ crack ដូចជា Microsoft Word។ ជំនួសឱ្យការទទួលបានកម្មវិធីដែលបានសន្យា ពួកគេត្រូវបានបញ្ជូនបន្តទៅកាន់បណ្ណសារ ZIP ដែលបង្ហោះដោយ MediaFire។ បណ្ណសារនេះមានធាតុសំខាន់ៗពីរ៖ ឯកសារ ZIP ដែលបានអ៊ិនគ្រីប និងឯកសារ Word ដែលផ្តល់ពាក្យសម្ងាត់ដែលត្រូវការដើម្បីបើកវា។

នៅខាងក្នុងបណ្ណសារដែលបានការពារគឺជាអ្នកបកប្រែ Python ស្របច្បាប់មួយដែលត្រូវបានប្តូរឈ្មោះទៅជា Setup.exe។ ឯកសារដែលអាចប្រតិបត្តិបាននេះត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីបើកដំណើរការពាក្យបញ្ជាព្យាបាទដែលប្រើប្រាស់ mshta.exe ដើម្បីទាញយក CountLoader កំណែ 3.2 ពីម៉ាស៊ីនមេពីចម្ងាយ ដោយចាប់ផ្តើមការសម្របសម្រួលដោយស្ងាត់ៗ។

ការតស៊ូតាមរយៈការបោកបញ្ឆោត និងការយល់ដឹងអំពីបរិស្ថាន

ដើម្បីធានាបាននូវការចូលប្រើប្រាស់រយៈពេលវែង មេរោគនេះបង្កើតភាពស្ថិតស្ថេរដោយបង្កើតកិច្ចការដែលបានកំណត់ពេលមួយដែលត្រូវបានរចនាឡើងដើម្បីឱ្យមើលទៅស្របច្បាប់។ វាប្រើប្រាស់ឈ្មោះ 'GoogleTaskSystem136.0.7023.12' បន្ទាប់មកដោយខ្សែអក្សរដែលស្រដៀងនឹងឧបករណ៍កំណត់អត្តសញ្ញាណតែមួយគត់។ កិច្ចការនេះត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីប្រតិបត្តិរៀងរាល់ 30 នាទីម្តងសម្រាប់រយៈពេលមួយទសវត្សរ៍ ដោយហៅ mshta.exe និងពឹងផ្អែកលើដែនបម្រុងប្រសិនបើចាំបាច់។

មុនពេលបញ្ចប់យន្តការរក្សារបស់វា CountLoader ពិនិត្យមើលប្រព័ន្ធសម្រាប់វត្តមាននៃផលិតផលសុវត្ថិភាពជាក់លាក់ណាមួយដោយសាកសួរសារពើភ័ណ្ឌកំចាត់មេរោគតាមរយៈ Windows Management Instrumentation (WMI)។ ប្រសិនបើឧបករណ៍ត្រូវបានរកឃើញ កម្មវិធីផ្ទុកនឹងផ្លាស់ប្តូរវិធីសាស្ត្រប្រតិបត្តិរបស់វាដោយប្រយោលដើម្បីប្រើ cmd.exe /c start /b mshta.exe។ បើមិនដូច្នោះទេ វានឹងទាក់ទងដោយផ្ទាល់ទៅកាន់ URL ពីចម្ងាយដោយប្រើ mshta.exe ដែលកាត់បន្ថយការកកិត និងការសង្ស័យ។

ការពង្រីកសមត្ថភាព និងលក្ខណៈពិសេសម៉ូឌុល

នៅពេលដែលត្រូវបានបង្កើតឡើង CountLoader នឹងកំណត់ទម្រង់ម៉ាស៊ីនដែលឆ្លងមេរោគ ហើយទាញយកបន្ទុកបន្ថែមតាមតម្រូវការ។ កំណែចុងក្រោយបំផុតណែនាំមុខងារថ្មី រួមទាំងសមត្ថភាពក្នុងការរីករាលដាលតាមរយៈដ្រាយ USB ដែលអាចដកចេញបាន និងដើម្បីប្រតិបត្តិកូដព្យាបាទដោយផ្ទាល់នៅក្នុងអង្គចងចាំដោយប្រើ mshta.exe ឬ PowerShell។ សមត្ថភាពដែលគាំទ្ររបស់វារួមមាន៖

  • ការទាញយក និងដំណើរការឯកសារដែលអាចប្រតិបត្តិបានពី URL ពីចម្ងាយ
  • ការទាញយកបណ្ណសារ ZIP និងការប្រតិបត្តិម៉ូឌុល Python ដែលបានបង្កប់ ឬឯកសារ EXE
  • កំពុងទាញយកឯកសារ DLL ហើយបើកដំណើរការវាតាមរយៈ rundll32.exe
  • ការទាញយក និងដំឡើងកញ្ចប់ MSI
  • ការដកភារកិច្ចដែលបានកំណត់ពេលផ្ទាល់ខ្លួនចេញ ដើម្បីកាត់បន្ថយដានកោសល្យវិច្ច័យ
  • ការប្រមូល និងការច្រោះព័ត៌មានលម្អិតនៃប្រព័ន្ធ
  • រីករាលដាលតាមរយៈមេឌៀចល័តដោយបង្កើតឯកសារ LNK ដែលមានគំនិតអាក្រក់រួមជាមួយនឹងឯកសារដើមដែលលាក់ ដែលប្រតិបត្តិទាំងឯកសារស្របច្បាប់ និងមេរោគតាមរយៈ mshta.exe ជាមួយប៉ារ៉ាម៉ែត្រ Command-and-Control
  • ការហៅ mshta.exe ដោយផ្ទាល់ប្រឆាំងនឹង URL ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ
  • ការប្រតិបត្តិបន្ទុក PowerShell ពីចម្ងាយទាំងស្រុងនៅក្នុងអង្គចងចាំ

បន្ទុកចុងក្រោយ៖ អ្នកលួច ACR

នៅក្នុងខ្សែសង្វាក់វាយប្រហារដែលសង្កេតឃើញ CountLoader បានបញ្ជូន ACR Stealer ដែលជាមេរោគលួចព័ត៌មានដែលត្រូវបានរចនាឡើងដើម្បីទាញយកទិន្នន័យរសើបពីប្រព័ន្ធដែលរងការសម្របសម្រួល។ ដំណាក់កាលចុងក្រោយនេះបំលែងការល្បួងដំបូងដែលពាក់ព័ន្ធនឹងកម្មវិធីលួចចម្លងទៅជាប្រតិបត្តិការលួចទិន្នន័យទ្រង់ទ្រាយធំ។

អ្វីដែលយុទ្ធនាការនេះផ្តល់សញ្ញាសម្រាប់អ្នកការពារ

ប្រតិបត្តិការនេះបង្ហាញពីការវិវត្តជាបន្តបន្ទាប់ និងភាពទំនើបកាន់តែកើនឡើងរបស់ CountLoader។ ការរួមបញ្ចូលគ្នានៃការរំលោភបំពានអ្នកបកប្រែ Python ការក្លែងបន្លំភារកិច្ចដែលបានកំណត់ពេល ការប្រើប្រាស់ខុសប្រព័ន្ធគោលពីរដែលបានចុះហត្ថលេខា និងការប្រតិបត្តិក្នុងអង្គចងចាំដែលគ្មានឯកសារ ឆ្លុះបញ្ចាំងពីការផ្លាស់ប្តូរកាន់តែទូលំទូលាយឆ្ពោះទៅរកបច្ចេកទេសឈ្លានពានដោយលួចលាក់។ សម្រាប់អ្នកការពារ យុទ្ធនាការនេះពង្រឹងសារៈសំខាន់នៃការត្រួតពិនិត្យប្រកបដោយភាពសកម្ម ការគ្រប់គ្រងសុវត្ថិភាពជាស្រទាប់ៗ និងការយល់ដឹងរបស់អ្នកប្រើប្រាស់ ជាពិសេសជុំវិញហានិភ័យនៃការទាញយកកម្មវិធីដែលគ្មានការអនុញ្ញាត ឬកម្មវិធីដែលបាន crack។

និន្នាការ

ការបោកប្រាស់អ៊ីមែលផ្អាកគណនី cPanel

ការបន្លំ, សារឥតបានការ
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតច្រើនតែរំលោភបំពានពាក្យបច្ចេកទេស និងសេវាកម្មដែលគួរឱ្យទុកចិត្ត ដើម្បីធ្វើឱ្យការបោកប្រាស់របស់ពួកគេមើលទៅគួរឱ្យទុកចិត្ត។ ការបោកប្រាស់អ៊ីមែលផ្អាកគណនី cPanel គឺជាឧទាហរណ៍ច្បាស់លាស់នៃយុទ្ធសាស្ត្រនេះ ដោយប្រើភាសាគួរឱ្យព្រួយបារម្ភដើម្បីដាក់សម្ពាធអ្នកទទួលឱ្យធ្វើសកម្មភាពយ៉ាងឆាប់រហ័ស។ អ៊ីមែលទាំងនេះគឺជាការក្លែងបន្លំទាំងស្រុង ហើយមិនមានទំនាក់ទំនងជាមួយក្រុមហ៊ុន អង្គការ...

Webmotion.co.in

គេហទំព័រក្លែងក្លាយ, Adware, ចោរប្លន់កម្មវិធីរុករក
ការប្រុងប្រយ័ត្នជានិច្ចពេលកំពុងរុករកគេហទំព័រគឺមានសារៈសំខាន់ ខណៈដែលគេហទំព័របោកប្រាស់ និងគម្រោងផ្សាយពាណិជ្ជកម្មដ៏ខ្លាំងក្លាបន្តវិវត្ត។ ជនគំរាមកំហែងបង្កើតទំព័រជាប្រចាំដែលធ្វើត្រាប់តាមមុខងារស្របច្បាប់...

មេរោគ EtherRAT

ឧបករណ៍គ្រប់គ្រងពីចម្ងាយ, ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT)
យុទ្ធនាការគំរាមកំហែងដែលទើបរកឃើញថ្មីៗនេះ ដែលភ្ជាប់ទៅនឹងប្រតិបត្តិករកូរ៉េខាងជើង ត្រូវបានគេជឿថាកំពុងកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដ៏សំខាន់របស់ React2Shell (RSC) ដើម្បីដាក់ពង្រាយមេរោគ Trojan...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
30,084
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
23,718
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...
កំពុង​ផ្ទុក...