ការបញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
Computer Security ការផ្លាស់ប្តូរ Cryptocurrency...

ការផ្លាស់ប្តូរ Cryptocurrency ធ្លាក់ជនរងគ្រោះទៅជាការវាយប្រហារ Mac Malware ដែលមិនធ្លាប់មានពីមុនមក និងបំផ្លិចបំផ្លាញ

ដោយ Chance ក្នុង Computer Security
បកប្រែទៅ៖
ភាសាខ្មែរ

នៅក្នុងរបកគំហើញថ្មីៗនេះ អ្នកស្រាវជ្រាវបានរកឃើញមេរោគថ្មីរបស់ Mac ដែលបានកំណត់គោលដៅប្តូររូបិយប័ណ្ណគ្រីបតូ ដែលបង្កការគំរាមកំហែងយ៉ាងសំខាន់ចំពោះសុវត្ថិភាពនៃមូលនិធិរបស់អ្នកប្រើប្រាស់។ មេរោគដ៏ទំនើបនេះមានឈ្មោះថា JokerSpy បង្ហាញសមត្ថភាពជាច្រើន រួមទាំងការលួចទិន្នន័យ ការទាញយក និងប្រតិបត្តិឯកសារគំរាមកំហែង និងមុខងារឆ្លងវេទិកាដែលមានសក្តានុពល។ សរសេរនៅក្នុង Python, JokerSpy ប្រើប្រាស់ SwiftBelt ដែលជាឧបករណ៍ប្រភពបើកចំហដែលមានបំណងដំបូងសម្រាប់ការធ្វើតេស្តសុវត្ថិភាពស្របច្បាប់។ ការលាតត្រដាងដំបូងនៃ JokerSpy បានកើតឡើងតាមរយៈរបាយការណ៍សុវត្ថិភាព ដោយបង្ហាញពីអត្ថិភាពរបស់វា និងបង្កើនការព្រួយបារម្ភអំពីលទ្ធភាពដែលអាចរកបានរបស់វានៅលើប្រព័ន្ធប្រតិបត្តិការ Windows និង Linux ។ ការអភិវឌ្ឍន៍នេះបង្ហាញពីបញ្ហាប្រឈមដែលកំពុងបន្តនៃការផ្លាស់ប្តូររូបិយប័ណ្ណគ្រីបតូ និងតម្រូវការថេរសម្រាប់វិធានការសន្តិសុខដ៏រឹងមាំដើម្បីការពារប្រឆាំងនឹងការគំរាមកំហែងដែលកំពុងកើតឡើង។

កាយវិភាគសាស្ត្រនៃការគំរាមកំហែង

មេរោគ JokerSpy លេចឡើងបន្ទាប់ពីឧបករណ៍ការពារចំណុចបញ្ចប់ជាក់លាក់មួយបានរកឃើញឯកសារគោលពីរដែលគួរឱ្យសង្ស័យហៅថា xcc ។ ជនរងគ្រោះដែលកំណត់គោលដៅដោយមេរោគគឺជាការផ្លាស់ប្តូររូបិយប័ណ្ណគ្រីបតូដ៏ល្បីនៅក្នុងប្រទេសជប៉ុន។ នៅពេលដែលឯកសារ xcc លេចចេញមក ពួក Hacker នៅពីក្រោយ JokerSpy បានព្យាយាមរំលងការការពារសុវត្ថិភាពរបស់ macOS ដែលត្រូវបានគេស្គាល់ថា TCC ដែលទាមទារការអនុញ្ញាតពីអ្នកប្រើប្រាស់ច្បាស់លាស់សម្រាប់កម្មវិធីដើម្បីចូលប្រើទិន្នន័យ និងធនធានរសើប។ តួអង្គគំរាមកំហែងបានជំនួសមូលដ្ឋានទិន្នន័យ TCC ដែលមានស្រាប់ដោយរបស់ពួកគេផ្ទាល់ ដែលទំនងជាការពារការជូនដំណឹងពីការលេចឡើងនៅពេលដែល JokerSpy សកម្ម។ នៅក្នុងការវាយប្រហារមុនៗ ពួក Hacker បានទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះនៅក្នុងការការពារ TCC ដើម្បីចៀសវាងពួកវា ហើយអ្នកស្រាវជ្រាវបានបង្ហាញពីការវាយប្រហារស្រដៀងគ្នានេះ។

ម៉ាស៊ីនសំខាន់នៃមេរោគ JokerSpy មានមុខងារ backdoor ជាច្រើនដែលអនុញ្ញាតឱ្យមានសកម្មភាពដែលគ្មានការអនុញ្ញាត និងផ្តល់ការគ្រប់គ្រងលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ មុខងារទាំងនេះរួមមានការបញ្ឈប់ការប្រតិបត្តិនៃ backdoor (sk) ការចុះបញ្ជីឯកសារនៅក្នុងផ្លូវដែលបានបញ្ជាក់ (l) ការប្រតិបត្តិពាក្យបញ្ជាសែល និងការត្រឡប់លទ្ធផល (គ) ការផ្លាស់ប្តូរថតបច្ចុប្បន្ន និងការផ្តល់នូវផ្លូវថ្មី (ស៊ីឌី) ការប្រតិបត្តិកូដ Python នៅក្នុង បរិបទបច្ចុប្បន្នដោយប្រើប៉ារ៉ាម៉ែត្រដែលបានផ្តល់ (xs) ការឌិកូដ និងប្រតិបត្តិកូដ Python ដែលបានអ៊ិនកូដ Base64 (xsi) ការដកឯកសារ ឬថតឯកសារចេញពីប្រព័ន្ធ (r) ការប្រតិបត្តិឯកសារពីប្រព័ន្ធដោយមានឬគ្មានប៉ារ៉ាម៉ែត្រ (e) ការបង្ហោះឯកសារទៅ ប្រព័ន្ធមេរោគ (u) ការទាញយកឯកសារពីប្រព័ន្ធមេរោគ (d) ការទាញយកការកំណត់រចនាសម្ព័ន្ធបច្ចុប្បន្ននៃមេរោគពីឯកសារកំណត់រចនាសម្ព័ន្ធ (g) និងការបដិសេធឯកសារកំណត់រចនាសម្ព័ន្ធរបស់មេរោគជាមួយនឹងតម្លៃថ្មី (w) ។

ពាក្យបញ្ជាទាំងនេះអនុញ្ញាតឱ្យមេរោគ JokerSpy ធ្វើសកម្មភាពដែលមិនមានការអនុញ្ញាតផ្សេងៗ និងគ្រប់គ្រងលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

ដូចដែលបានរាយការណ៍ នៅពេលដែលប្រព័ន្ធមួយត្រូវបានសម្របសម្រួល និងឆ្លងមេរោគដូចជា JokerSpy អ្នកវាយប្រហារទទួលបានការគ្រប់គ្រងយ៉ាងសំខាន់លើប្រព័ន្ធ។ ទោះបីជាយ៉ាងណាក៏ដោយ ជាមួយនឹង backdoor អ្នកវាយប្រហារថែមទាំងអាចដំឡើងសមាសធាតុបន្ថែមដោយប្រុងប្រយ័ត្ន និងអាចប្រតិបត្តិការកេងប្រវ័ញ្ចបន្ថែមទៀត សង្កេតមើលសកម្មភាពរបស់អ្នកប្រើប្រាស់ ប្រមូលព័ត៌មានសម្ងាត់នៃការចូល ឬកាបូប cryptocurrency និងធ្វើសកម្មភាពដែលបង្កគ្រោះថ្នាក់ផ្សេងទៀត។

វ៉ិចទ័រឆ្លងបច្ចុប្បន្នមិនស្គាល់

អ្នកស្រាវជ្រាវនៅតែមិនច្បាស់លាស់អំពីវិធីសាស្រ្តច្បាស់លាស់នៃការដំឡើងរបស់ JokerSpy ។ អ្នកខ្លះជឿយ៉ាងមុតមាំថា ចំណុចចូលដំណើរការដំបូងសម្រាប់មេរោគនេះពាក់ព័ន្ធនឹងកម្មវិធីជំនួយដែលមិនមានសុវត្ថិភាព ឬមានការសម្របសម្រួល ឬភាពអាស្រ័យភាគីទីបី ដែលផ្តល់ឱ្យអ្នកគំរាមកំហែងជាមួយនឹងការចូលប្រើដោយគ្មានការអនុញ្ញាត។ ទ្រឹស្ដីនេះស្របទៅនឹងការសង្កេតដែលធ្វើឡើងដោយអ្នកស្រាវជ្រាវ Bitdefender ដែលបានរកឃើញដែន hardcoded នៅក្នុងកំណែនៃ sh.py backdoor ភ្ជាប់ទៅ tweets ពិភាក្សាអំពីមេរោគ macOS QR code reader ជាមួយនឹងភាពអាស្រ័យដែលមិនមានសុវត្ថិភាព។ វាក៏ត្រូវបានកត់សម្គាល់ផងដែរថាតួអង្គគំរាមកំហែងដែលបានសង្កេតឃើញមានសិទ្ធិចូលប្រើពីមុនរួចទៅហើយចំពោះការផ្លាស់ប្តូររូបិយប័ណ្ណគ្រីបតូរបស់ជប៉ុន។

ដើម្បីកំណត់គោលដៅសក្តានុពលដោយ JokerSpy បុគ្គលអាចស្វែងរកសូចនាករជាក់លាក់។ ទាំងនេះរួមបញ្ចូលកូដសម្ងាត់នៃគំរូផ្សេងគ្នានៃ xcc និង sh.py និងការទំនាក់ទំនងជាមួយដែនដូចជា git-hub[.]me និង app.influmarket[.]org ។ ខណៈពេលដែល JokerSpy ពីដំបូងមិនបានកត់សម្គាល់ដោយម៉ាស៊ីនសុវត្ថិភាពភាគច្រើន ជួរដ៏ធំទូលាយនៃម៉ាស៊ីនឥឡូវនេះអាចរកឃើញវាបាន។ ខណៈពេលដែលមិនមានការបញ្ជាក់អំពីអត្ថិភាពនៃកំណែ Windows ឬ Linux របស់ JokerSpy នោះវាចាំបាច់ណាស់ក្នុងការយល់ដឹងថាលទ្ធភាពនេះមាន។

ការផ្លាស់ប្តូរ Cryptocurrency ធ្លាក់ជនរងគ្រោះទៅជាការវាយប្រហារ Mac Malware ដែលមិនធ្លាប់មានពីមុនមក និងបំផ្លិចបំផ្លាញ រូបថតអេក្រង់

កំពុង​ផ្ទុក...