យុទ្ធនាការវាយប្រហារវីនដូ Crypto Clipper

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានបង្ហាញព័ត៌មានលម្អិតអំពីប្រតិបត្តិការកាត់រូបិយប័ណ្ណគ្រីបតូដែលមានមូលដ្ឋានលើ Windows ដ៏ទំនើបមួយ ដែលបានដំណើរការតាំងពីខែកុម្ភៈ ឆ្នាំ 2026។ យុទ្ធនាការនេះប្រើប្រាស់មេរោគត្រួតពិនិត្យក្ដារចុចដែលមានសមត្ថភាពរីករាលដាលដោយខ្លួនឯង និងទាញយកអត្ថប្រយោជន៍ពីបណ្តាញអនាមិក Tor ដើម្បីលាក់ហេដ្ឋារចនាសម្ព័ន្ធទំនាក់ទំនងរបស់ខ្លួន។

មិនដូចប្រតិបត្តិការមេរោគធម្មតាដែលពឹងផ្អែកលើកម្មវិធីដំឡើងស្តង់ដារ ឬម៉ាស៊ីនមេ Command-and-Control (C2) ដែលបង្ហាញជាសាធារណៈនោះទេ ការគំរាមកំហែងនេះដាក់ពង្រាយកម្មវិធី Tor ចល័ត និងបញ្ជូនចរាចរណ៍ទាំងអស់តាមរយៈប្រូកស៊ី SOCKS5 ក្នុងស្រុក។ ដោយរួមបញ្ចូលគ្នានូវការលួចរូបិយប័ណ្ណគ្រីបតូ ការលួចទិន្នន័យ និងសមត្ថភាពប្រតិបត្តិកូដពីចម្ងាយ មេរោគនេះមិនត្រឹមតែដំណើរការជាឧបករណ៍កាត់ប៉ុណ្ណោះទេ ប៉ុន្តែក៏ជាទ្វារក្រោយស្រាលផងដែរ។

របៀបដែលមេរោគ Clipper ដំណើរការ

មេរោគ Clipper ត្រូវបានរចនាឡើងដើម្បីតាមដានសកម្មភាពក្ដារតម្បៀតខ្ទាស់របស់ជនរងគ្រោះដោយស្ងៀមស្ងាត់ និងស្ទាក់ចាប់ព័ត៌មានរសើបដែលបានចម្លងទៅក្នុងអង្គចងចាំ។ គោលបំណងចម្បងរបស់វាគឺដើម្បីរៀបចំប្រតិបត្តិការរូបិយប័ណ្ណគ្រីបតូដោយកំណត់អត្តសញ្ញាណអាសយដ្ឋានកាបូបដែលភ្ជាប់ជាមួយទម្រង់ blockchain ដែលគេស្គាល់ និងជំនួសវាដោយជម្រើសដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ ជាលទ្ធផល មូលនិធិដែលមានបំណងសម្រាប់អ្នកទទួលស្របច្បាប់អាចត្រូវបានបញ្ជូនបន្តដោយមិនចាំបាច់ឱ្យជនរងគ្រោះដឹង។

យុទ្ធនាការនេះពឹងផ្អែកលើ Windows Script Host និងមុខងារដែលមានមូលដ្ឋានលើ ActiveX ដើម្បីបើកដំណើរការប្រូកស៊ី Tor ដែលបានបង្កប់ និងទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 ដែលលាក់។ មេរោគនេះអនុវត្តការឃ្លាំមើលក្ដារតម្បៀតខ្ទាស់ជាបន្តបន្ទាប់ ចាប់យករូបថតអេក្រង់ លួចព័ត៌មានទាក់ទងនឹងរូបិយប័ណ្ណគ្រីបតូ និងជំនួសអាសយដ្ឋានកាបូបក្នុងពេលវេលាជាក់ស្តែង។

មុខងារខ្សែសង្វាក់នៃការឆ្លងមេរោគ និងមេរោគ Worm ដែលមានមូលដ្ឋានលើ USB

ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងការចែកចាយឯកសារ Windows Shortcut (LNK) ដែលមានគំនិតអាក្រក់តាមរយៈឧបករណ៍ផ្ទុកទិន្នន័យ USB ដែលអាចដោះចេញបាន។ នៅពេលដែលជនរងគ្រោះបើកផ្លូវកាត់មួយក្នុងចំណោមផ្លូវកាត់ទាំងនេះ សមាសធាតុមេរោគ Worm ត្រូវបានធ្វើឱ្យសកម្ម។ ដំបូងមេរោគនឹងកំណត់ថាតើប្រព័ន្ធត្រូវបានឆ្លងមេរោគរួចហើយឬនៅ ហើយទាញយកទិន្នន័យដែលនៅសល់ លុះត្រាតែមិនមានការឆ្លងមេរោគពីមុនត្រូវបានរកឃើញ។

បន្ទុកទិន្នន័យ LNK ស្វែងរកឧបករណ៍ USB ដែលបានភ្ជាប់យ៉ាងសកម្មសម្រាប់ទម្រង់ឯកសារដែលប្រើជាទូទៅ រួមទាំងឯកសារ DOC, XLSX និង PDF។ នៅពេលដែលរកឃើញ ឯកសារទាំងនេះត្រូវបានលាក់ ហើយជំនួសដោយឯកសារផ្លូវកាត់ព្យាបាទដែលមានឈ្មោះដូចគ្នា។ បច្ចេកទេសបោកបញ្ឆោតនេះបង្កើនលទ្ធភាពដែលអ្នកប្រើប្រាស់នឹងប្រតិបត្តិមេរោគដោយមិនដឹងខ្លួន ខណៈពេលកំពុងព្យាយាមបើកអ្វីដែលហាក់ដូចជាឯកសារស្របច្បាប់។

ក្រៅពីការសម្របសម្រួលដំបូង មេរោគនេះទទួលខុសត្រូវចំពោះការរីករាលដាលនៃការឆ្លងមេរោគទៅកាន់ឧបករណ៍ USB ដែលមិនមានមេរោគបន្ថែម។ វាក៏បង្កើតភាពស្ថិតស្ថេរដោយបង្កើតភារកិច្ចដែលបានកំណត់ពេលសម្រាប់ទាំងមេរោគ និងសមាសធាតុលួច។

ការគេចវេសកម្រិតខ្ពស់ និងការប្រតិបត្តិពាក្យបញ្ជាជាប់លាប់

សមាសភាគ clipper ប្រើប្រាស់ WScript និង ActiveXObject ដើម្បីធ្វើអន្តរកម្មដោយផ្ទាល់ជាមួយប្រព័ន្ធប្រតិបត្តិការ។ ដើម្បីកាត់បន្ថយលទ្ធភាពនៃការរកឃើញ មេរោគនឹងពិនិត្យមើលដំណើរការសកម្ម ហើយបញ្ចប់ខ្លួនវា ប្រសិនបើ Task Manager កំពុងដំណើរការ។

ក្នុងដំណាក់កាលចុងក្រោយនៃការប្រតិបត្តិ ប្រព័ន្ធគោលពីរ Tor ដែលត្រូវបានប្តូរឈ្មោះត្រូវបានដាក់ឱ្យដំណើរការនៅក្នុងបង្អួចដែលលាក់។ បន្ទាប់មកមេរោគបង្កើតឧបករណ៍កំណត់អត្តសញ្ញាណជនរងគ្រោះតែមួយគត់ ហើយចុះឈ្មោះវាជាមួយហេដ្ឋារចនាសម្ព័ន្ធពីចម្ងាយរបស់វា។ បន្ទាប់ពីការចុះឈ្មោះ វាចូលទៅក្នុងរង្វិលជុំប្រតិបត្តិការជាបន្តបន្ទាប់ ដោយស្ទង់មតិម៉ាស៊ីនមេ C2 សម្រាប់ពាក្យបញ្ជា ខណៈពេលដែលត្រួតពិនិត្យមាតិកាក្ដារតម្បៀតខ្ទាស់ប្រហែលរៀងរាល់ 500 មិល្លីវិនាទី។

បន្ថែមពីលើការប្រមូលទិន្នន័យកាបូបលុយឌីជីថល ឃ្លាគ្រាប់ពូជ និងកូនសោឯកជន មេរោគនេះចាប់យករូបថតអេក្រង់ ហើយផ្ទេរវាតាមរយៈបណ្តាញ Tor។ ប្រសិនបើម៉ាស៊ីនមេ C2 ឆ្លើយតបជាមួយពាក្យបញ្ជា EVAL កូដដែលផ្គត់ផ្គង់ដោយអ្នកវាយប្រហារត្រូវបានប្រតិបត្តិដោយថាមវន្តនៅលើប្រព័ន្ធដែលរងការសម្របសម្រួល ដែលពង្រីកសមត្ថភាពនៃការគំរាមកំហែងយ៉ាងខ្លាំង។

សូចនាករសំខាន់ៗ និងអនុសាសន៍ការពារ

ក្រុមសន្តិសុខត្រូវបានណែនាំឱ្យផ្តោតលើបច្ចេកទេសរកឃើញអាកប្បកិរិយាជាជាងពឹងផ្អែកតែលើហត្ថលេខាមេរោគឋិតិវន្ត។ ការយកចិត្តទុកដាក់ជាពិសេសគួរតែត្រូវបានផ្តល់ទៅឱ្យសកម្មភាពចាប់យកអេក្រង់ដែលមានមូលដ្ឋានលើ PowerShell ដែលគួរឱ្យសង្ស័យ និងការប្រើប្រាស់ម៉ាស៊ីនស្គ្រីប Windows ដូចជា WScript ឬ CScript មិនធម្មតាដើម្បីបើកដំណើរការឧបករណ៍ប្រើប្រាស់រួមទាំង curl, cmd.exe, PowerShell ឬឯកសារដែលអាចប្រតិបត្តិបានដែលមិននឹកស្មានដល់ផ្សេងទៀត។

វិធានការការពារដែលបានណែនាំរួមមាន៖

• ការបិទមុខងារ AutoRun និង AutoPlay សម្រាប់មេឌៀចល័តទាំងអស់ ការរារាំងការប្រតិបត្តិឯកសារ LNK ពីឧបករណ៍ USB តាមរយៈវត្ថុគោលការណ៍ក្រុម (GPOs) និងការកំណត់ការប្រើប្រាស់ wscript.exe និង cscript.exe ដែលមិនចាំបាច់។
• ប្រព័ន្ធត្រួតពិនិត្យដែលគ្រប់គ្រងប្រតិបត្តិការហិរញ្ញវត្ថុ ឬទាក់ទងនឹងរូបិយប័ណ្ណគ្រីបតូ សម្រាប់សកម្មភាពក្ដារតម្បៀតខ្ទាស់មិនប្រក្រតី ឥរិយាបថថតអេក្រង់ដែលគ្មានការអនុញ្ញាត និងការទំនាក់ទំនងបណ្តាញដែលគួរឱ្យសង្ស័យទាក់ទងនឹង Tor។

ហេតុអ្វីបានជាការគំរាមកំហែងនេះលេចធ្លោ

យុទ្ធនាការនេះបង្ហាញពីភាពស្មុគស្មាញកាន់តែខ្លាំងឡើងនៃមេរោគដែលជំរុញដោយហិរញ្ញវត្ថុ។ តាមរយៈការរួមបញ្ចូលគ្នានូវការផ្សព្វផ្សាយមេរោគដែលមានមូលដ្ឋានលើ USB ការលួចយកក្ដារតម្បៀតខ្ទាស់ ការទំនាក់ទំនងដែលបិទបាំងដោយ Tor ការលួចយករូបថតអេក្រង់ និងការប្រតិបត្តិកូដពីចម្ងាយទៅក្នុងឧបករណ៍តែមួយ ប្រតិបត្តិករបានបង្កើតការគំរាមកំហែងដែលអាចប្រើប្រាស់បានច្រើនយ៉ាង ដែលមានសមត្ថភាពលួចទ្រព្យសកម្មរូបិយប័ណ្ណគ្រីបតូ និងរក្សាការចូលប្រើប្រព័ន្ធដែលឆ្លងមេរោគរយៈពេលវែង។ ការប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធសេវាកម្មលាក់កំបាំងធ្វើឱ្យស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងក្នុងការរកឃើញ និងការដកចេញ ដែលធ្វើឱ្យការត្រួតពិនិត្យអាកប្បកិរិយាសកម្មក្លាយជាយុទ្ធសាស្ត្រការពារដ៏សំខាន់។