មេរោគ CraxsRAT ចល័ត

អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិត តាមសេចក្តីរាយការណ៍ បានរកឃើញអត្តសញ្ញាណពិតរបស់បុគ្គលដែលទទួលខុសត្រូវក្នុងការអភិវឌ្ឍ Trojans ពីចម្ងាយ (RATs) ដែលគេស្គាល់ថាជា CypherRAT និង CraxsRAT ។

ដំណើរការក្រោមឈ្មោះក្លែងក្លាយតាមអ៊ីនធឺណិត 'EVLF DEV' និងមានមូលដ្ឋាននៅប្រទេសស៊ីរីសម្រាប់រយៈពេលប្រាំបីឆ្នាំចុងក្រោយនេះ តួអង្គគំរាមកំហែងនេះត្រូវបានគេជឿថារកបានច្រើនជាង $75,000 ដោយចែកចាយ RATs ទាំងពីរនេះទៅកាន់អង្គភាពគំរាមកំហែងផ្សេងៗ។ ព័ត៌មានដែលបានបង្ហាញក៏បង្ហាញផងដែរថាបុគ្គលនេះបម្រើជាប្រតិបត្តិករ Malware-as-a-Service (MaaS) ។

សម្រាប់រយៈពេលបីឆ្នាំចុងក្រោយនេះ EVLF DEV បាននិងកំពុងផ្តល់ជូន CraxsRAT ដែលត្រូវបានចាត់ទុកថាជាកម្មវិធី Android RAT ដ៏គ្រោះថ្នាក់ និងទំនើបជាងមួយ។ RAT នេះ​មាន​នៅ​លើ​ហាង​គេហទំព័រ​ផ្ទៃ​មួយ ដោយ​មាន​អាជ្ញាប័ណ្ណ​ប្រហែល 100 ពេញ​មួយ​ជីវិត​បាន​លក់​រហូត​មក​ដល់​ពេល​នេះ។

មេរោគ CraxsRAT Android គឺអាចប្ដូរតាមបំណងបានខ្ពស់។

CraxsRAT បង្កើតកញ្ចប់ដែលមានភាពច្របូកច្របល់ដោយផ្តល់ឱ្យតួអង្គព្យាបាទនូវភាពបត់បែនក្នុងការកែសម្រួលខ្លឹមសាររបស់ពួកគេដោយផ្អែកលើប្រភេទនៃការវាយប្រហារដែលមានបំណង រួមទាំងការចាក់បញ្ចូលទំព័រ WebView ផងដែរ។ តួអង្គគំរាមកំហែងមានសេរីភាពក្នុងការកំណត់ឈ្មោះ និងរូបតំណាងរបស់កម្មវិធីសម្រាប់ការជ្រៀតចូលឧបករណ៍ ក៏ដូចជាមុខងារជាក់លាក់ដែលមេរោគនឹងមាន។

លើសពីនេះ អ្នកសាងសង់រួមបញ្ចូលនូវមុខងារដំឡើងរហ័ស ដែលបង្កើតកម្មវិធីដោយមានការអនុញ្ញាតក្នុងការដំឡើងតិចតួច ដើម្បីគេចពីការរកឃើញ។ ទោះយ៉ាងណាក៏ដោយ ក្រោយការដំឡើង តួអង្គគំរាមកំហែងរក្សាលទ្ធភាពស្នើសុំការធ្វើឱ្យសកម្មនៃការអនុញ្ញាតបន្ថែម។

Trojan នេះប្រើប្រាស់សេវាកម្មភាពងាយស្រួលរបស់ Android ដើម្បីទទួលបានមុខងារជាច្រើន រួមទាំងការចាក់សោរ ការគ្រប់គ្រងអេក្រង់ប៉ះ និងការជ្រើសរើសជម្រើសដោយស្វ័យប្រវត្តិ។ ជួរដ៏ធំទូលាយនៃសមត្ថភាពរបស់ CraxsRAT គ្របដណ្តប់លើកិច្ចការដូចជាការថតសំឡេង និងការផ្សាយបន្តផ្ទាល់អេក្រង់របស់ឧបករណ៍។ វា​អាច​ទទួល​បាន​ការ​ថត​សំឡេង​ឬ​ចូល​រួម​ក្នុង​ការ​ឃ្លាំ​មើល​ពេល​វេលា​ពិត​ប្រាកដ​ដោយ​ប្រើ​មីក្រូហ្វូន​របស់​ទូរស័ព្ទ​និង​ទាំង​កាមេរ៉ា​ខាង​មុខ​និង​ខាង​ក្រោយ​។ Trojan អាចតាមដានទីតាំងរបស់ឧបករណ៍ដែលបំពានតាមរយៈទីតាំងភូមិសាស្ត្រ ឬដោយការតាមដានចលនាបន្តផ្ទាល់។ ជាលទ្ធផល វាមានសមត្ថភាពកំណត់ទីតាំងពិតប្រាកដរបស់ជនរងគ្រោះ។

ជម្រើស 'super mod' ក៏មានសម្រាប់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផងដែរ ដើម្បីធ្វើឱ្យ CraxsRAT ធន់នឹងការដកចេញពីឧបករណ៍ដែលមានមេរោគ។ នេះត្រូវបានសម្រេចដោយការធ្វើឱ្យគាំងរាល់ពេលដែលការប៉ុនប៉ងលុបកម្មវិធីត្រូវបានរកឃើញ។

CraxsRAT លួចឧបករណ៍ជនរងគ្រោះដែលមានទិន្នន័យសម្ងាត់ និងឯកជន

CraxsRAT ក៏ត្រូវបានបំពាក់ដើម្បីគ្រប់គ្រងកម្មវិធីផងដែរ។ នេះរួមបញ្ចូលទាំងភារកិច្ចដូចជាការទទួលបានបញ្ជីកម្មវិធីដែលបានដំឡើង បើក ឬបិទពួកវា បើក ឬបិទ និងសូម្បីតែលុបពួកវា។ ទន្ទឹមនឹងការគ្រប់គ្រងអេក្រង់ CraxsRAT មានសមត្ថភាពចាក់សោ ឬដោះសោអេក្រង់ ហើយវាអាចធ្វើឲ្យអេក្រង់ងងឹត ដើម្បីបិទបាំងសកម្មភាពព្យាបាទរបស់វា។ មេរោគនេះពង្រីកសមត្ថភាពរបស់វាចំពោះកិច្ចការគ្រប់គ្រងឯកសារ ដូចជាការបើក ការផ្លាស់ទី ការចម្លង ការទាញយក ការបង្ហោះ ការអ៊ិនគ្រីប និងការឌិគ្រីបឯកសារ។

CraxsRAT មានសមត្ថភាពក្នុងការត្រួតពិនិត្យគេហទំព័រដែលបានចូលប្រើ និងពង្រឹងការបើកទំព័រជាក់លាក់។ RAT នេះអាចផ្តួចផ្តើមខ្សែសង្វាក់ឆ្លងមេរោគដោយការទាញយក និងដំណើរការបន្ទុកដោយខ្លួនឯង ឬដោយការបញ្ឆោតជនរងគ្រោះឱ្យធ្វើដូច្នេះតាមរយៈគេហទំព័រព្យាបាទដែលបានបើកដោយបង្ខំ។ ជាលទ្ធផល តាមទ្រឹស្ដី កម្មវិធីនេះអាចប្រើប្រាស់ដើម្បីផ្សាំឧបករណ៍ដែលមានមេរោគ Trojans ពិសេស ransomware និងទម្រង់មេរោគផ្សេងៗទៀត។

CraxsRAT មានសមត្ថភាពគ្រប់គ្រងទំនាក់ទំនងរបស់ទូរសព្ទដោយការអាន លុប និងបន្ថែមទំនាក់ទំនងថ្មី។ លើសពីនេះ កម្មវិធីគំរាមកំហែងមានជំនាញក្នុងការពិនិត្យមើលកំណត់ហេតុការហៅទូរសព្ទ (រួមទាំងការហៅចូល ចេញ និងខកខាន) កត់ត្រាការសន្ទនាតាមទូរសព្ទ និងសូម្បីតែចាប់ផ្តើមហៅទូរសព្ទ។ ដូចគ្នានេះដែរ Trojan អាចចូលប្រើសារ SMS (ទាំងផ្ញើ និងទទួល ក៏ដូចជាសេចក្តីព្រាង) ហើយផ្ញើពួកគេ។ មុខងារទាំងនេះទាក់ទងនឹងការហៅទូរសព្ទ និងសារជាអក្សរដាក់ទីតាំង CraxsRAT ដែលត្រូវប្រើជា Toll Fraud malware។

RAT អាចចូលប្រើមាតិកាដែលរក្សាទុកក្នុងក្ដារតម្បៀតខ្ទាស់ (ឧ. សតិបណ្ដោះអាសន្នចម្លង-បិទភ្ជាប់)។ CraxsRAT ក៏កំណត់គោលដៅគណនីផ្សេងៗ និងព័ត៌មានបញ្ជាក់ការចូលរបស់ពួកគេផងដែរ។ ក្នុង​ចំណោម​ឧទាហរណ៍​ដែល​បាន​រាយ​ក្នុង​សម្ភារៈ​ផ្សព្វផ្សាយ​របស់​ខ្លួន​គឺ​អ៊ីមែល​មិន​បាន​បញ្ជាក់​គណនី Facebook និង Telegram។

វាជារឿងសំខាន់ក្នុងការគូសបញ្ជាក់ថា អ្នកបង្កើតមេរោគជារឿយៗកែលម្អកម្មវិធីរបស់ពួកគេ ហើយ CraxsRAT ក៏មិនខុសគ្នាដែរ។ អាស្រ័យហេតុនេះ ការឆ្លងទាំងនេះមិនត្រឹមតែបង្ហាញភាពចម្រុះដោយសារធម្មជាតិដែលអាចប្ដូរតាមបំណងរបស់ពួកគេប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបង្ហាញពីការប្រែប្រួលដោយសារការណែនាំនៃលក្ខណៈពិសេសដែលបានបញ្ចូលថ្មី។