មេរោគ DarkGate

យុទ្ធនាការ malspam ដែលប្រើប្រាស់មេរោគដែលងាយស្រួលរកបាន ដែលគេស្គាល់ថា DarkGate ត្រូវបាននាំមកបំភ្លឺ។ អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតណែនាំថាការកើនឡើងនៃសកម្មភាពមេរោគ DarkGate ទំនងជាដោយសារតែការសម្រេចចិត្តថ្មីៗរបស់អ្នកបង្កើតមេរោគក្នុងការផ្តល់ជូនវាសម្រាប់ជួលដល់ក្រុមដៃគូឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលបានជ្រើសរើស។ ការដាក់ពង្រាយការគំរាមកំហែងនេះក៏ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងយុទ្ធនាការទ្រង់ទ្រាយធំដែលទាញយកសារអេឡិចត្រូនិចដែលត្រូវបានសម្របសម្រួលដើម្បីបញ្ឆោតអ្នកទទួលឱ្យទាញយកមេរោគដោយមិនដឹងខ្លួន។

មេរោគ DarkGate ត្រូវបានចែកចាយតាមរយៈដំណើរការវាយប្រហារច្រើនដំណាក់កាល

ការវាយប្រហារចាប់ផ្តើមដោយការទាក់ទាញជនរងគ្រោះទៅកាន់ URL បន្លំ ដែលនៅពេលត្រូវបានចុច ឆ្លងកាត់ប្រព័ន្ធទិសដៅចរាចរណ៍ (TDS) ។ គោលដៅគឺដើម្បីដឹកនាំជនរងគ្រោះដែលមិនសង្ស័យទៅកាន់បន្ទុករបស់ MSI ក្រោមលក្ខខណ្ឌជាក់លាក់មួយចំនួន។ លក្ខខណ្ឌមួយក្នុងចំណោមលក្ខខណ្ឌទាំងនេះគឺវត្តមាននៃបឋមកថាធ្វើឱ្យស្រស់នៅក្នុងការឆ្លើយតប HTTP ។

នៅពេលបើកឯកសារ MSI ដំណើរការពហុដំណាក់កាលត្រូវបានកេះ។ ដំណើរការនេះពាក់ព័ន្ធនឹងការប្រើប្រាស់ស្គ្រីប AutoIt ដើម្បីប្រតិបត្តិ shellcode ដែលបម្រើជាមធ្យោបាយក្នុងការឌិគ្រីប និងបើកដំណើរការការគំរាមកំហែង DarkGate តាមរយៈ crypter ឬ loader ។ ដើម្បីឱ្យកាន់តែច្បាស់លាស់ កម្មវិធីផ្ទុកត្រូវបានសរសេរកម្មវិធីដើម្បីវិភាគស្គ្រីប AutoIt ហើយទាញយកបន្ទុកដែលបានអ៊ិនគ្រីបចេញពីវា។

កំណែជំនួសនៃការវាយប្រហារទាំងនេះក៏ត្រូវបានគេសង្កេតឃើញផងដែរ។ ជំនួសឱ្យឯកសារ MSI ស្គ្រីប Visual Basic ត្រូវបានប្រើប្រាស់ ដែលប្រើ cURL ដើម្បីទាញយកទាំង AutoIt ដែលអាចប្រតិបត្តិបាន និងឯកសារស្គ្រីប។ វិធីសាស្រ្តពិតប្រាកដដែលត្រូវបានប្រើដើម្បីចែកចាយស្គ្រីប VB នៅតែមិនទាន់ដឹងនៅឡើយ។

DarkGate អាចអនុវត្តសកម្មភាពបង្កគ្រោះថ្នាក់ជាច្រើនលើឧបករណ៍ដែលបំពាន

DarkGate មាន​សមត្ថភាព​ជាច្រើន​ដែល​អនុញ្ញាត​ឱ្យ​វា​គេច​ពី​ការ​រក​ឃើញ​ដោយ​កម្មវិធី​សុវត្ថិភាព បង្កើត​ភាព​ជាប់​លាប់​តាម​រយៈ​ការ​កែប្រែ Windows Registry លើក​កម្ពស់​សិទ្ធិ និង​ទិន្នន័យ​ពី​កម្មវិធីរុករក​តាម​អ៊ីនធឺណិត និង​វេទិកា​កម្មវិធី​ដូចជា Discord និង FileZilla។

លើសពីនេះ វាបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) ដែលបើកដំណើរការដូចជាការរាប់ឯកសារ ការទាញយកទិន្នន័យ ការចាប់ផ្តើមប្រតិបត្តិការរុករក cryptocurrency ការថតអេក្រង់ពីចម្ងាយ និងការប្រតិបត្តិពាក្យបញ្ជាផ្សេងៗ។

ការគំរាមកំហែងនេះត្រូវបានលក់ជាចម្បងនៅលើវេទិការក្រោមដីក្រោមគំរូនៃការជាវ។ ចំណុចតម្លៃដែលបានផ្តល់ជូនប្រែប្រួលចាប់ពី 1,000 ដុល្លារក្នុងមួយថ្ងៃដល់ 15,000 ដុល្លារក្នុងមួយខែ និងរហូតដល់ 100,000 ដុល្លារក្នុងមួយឆ្នាំ។ អ្នកបង្កើតមេរោគផ្សព្វផ្សាយវាជា "ឧបករណ៍ចុងក្រោយសម្រាប់អ្នកសាកល្បងប៊ិច/ក្រុមក្រហម" ដោយរំលេចលក្ខណៈពិសេសផ្តាច់មុខរបស់វា ដែលគេសន្មត់ថារកមិនឃើញនៅកន្លែងផ្សេង។ គួរឱ្យចាប់អារម្មណ៍ អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិត បានរកឃើញការធ្វើឡើងវិញមុននៃ DarkGate ដែលរួមបញ្ចូលម៉ូឌុល ransomware ផងដែរ។

កុំធ្លាក់សម្រាប់ល្បិចដែលប្រើក្នុងការវាយប្រហារបន្លំ

ការវាយប្រហារបន្លំគឺជាផ្លូវចែកចាយចម្បងសម្រាប់ការគំរាមកំហែងនៃមេរោគជាច្រើន រួមទាំងអ្នកលួច trojan និងកម្មវិធីផ្ទុកមេរោគ។ ការទទួលស្គាល់ការប៉ុនប៉ងបន្លំបែបនេះគឺសំខាន់ណាស់ក្នុងការរក្សាសុវត្ថិភាព និងមិនធ្វើឱ្យឧបករណ៍របស់អ្នកប្រឈមនឹងសុវត្ថិភាព ឬហានិភ័យឯកជនភាពដ៏គ្រោះថ្នាក់ណាមួយឡើយ។ នេះគឺជាទង់ក្រហមធម្មតាមួយចំនួនដែលត្រូវដឹង៖

• អាសយដ្ឋានអ្នកផ្ញើគួរឱ្យសង្ស័យ ៖ ពិនិត្យអាសយដ្ឋានអ៊ីមែលរបស់អ្នកផ្ញើដោយប្រុងប្រយ័ត្ន។ សូមប្រយ័ត្នប្រសិនបើវាមានអក្ខរាវិរុទ្ធខុស តួអក្សរបន្ថែម ឬមិនត្រូវគ្នានឹងដែនផ្លូវការរបស់ស្ថាប័នដែលខ្លួនអះអាងថាមកពី។
• ការស្វាគមន៍ដែលមិនបានបញ្ជាក់ ៖ អ៊ីមែលបន្លំជាញឹកញាប់ប្រើការស្វាគមន៍ទូទៅដូចជា 'អ្នកប្រើប្រាស់ជាទីគោរព' ជំនួសឱ្យការបញ្ជូនអ្នកតាមឈ្មោះរបស់អ្នក។ អង្គការស្របច្បាប់ជាធម្មតាកំណត់ទំនាក់ទំនងផ្ទាល់ខ្លួនរបស់ពួកគេ។
• ភាសាបន្ទាន់ ឬគំរាមកំហែង ៖ អ៊ីមែលបោកបញ្ឆោតមានទំនោរបង្កើតអារម្មណ៍នៃភាពបន្ទាន់ ឬការភ័យខ្លាចក្នុងការជម្រុញសកម្មភាពភ្លាមៗ។ ពួកគេអាចអះអាងថាគណនីរបស់អ្នកត្រូវបានផ្អាក ឬអ្នកនឹងប្រឈមមុខនឹងផលវិបាកលុះត្រាតែអ្នកធ្វើសកម្មភាពយ៉ាងឆាប់រហ័ស។
• សំណើមិនធម្មតាសម្រាប់ព័ត៌មានផ្ទាល់ខ្លួន ៖ សូមប្រយ័ត្នចំពោះអ៊ីមែលដែលស្នើសុំព័ត៌មានរសើប ដូចជាពាក្យសម្ងាត់ លេខសន្តិសុខសង្គម ឬព័ត៌មានលម្អិតអំពីប័ណ្ណឥណទាន។ អង្គការស្របច្បាប់នឹងមិនស្នើសុំព័ត៌មានបែបនេះតាមរយៈអ៊ីមែលទេ។
• ឯកសារភ្ជាប់មិនធម្មតា ៖ កុំបើកឯកសារភ្ជាប់ពីអ្នកផ្ញើដែលមិនស្គាល់។ ពួកវាអាចមានមេរោគ។ ទោះបីជាឯកសារភ្ជាប់ហាក់ដូចជាស៊ាំក៏ដោយ ក៏ត្រូវប្រុងប្រយ័ត្ន ប្រសិនបើវាមិននឹកស្មានដល់ ឬជំរុញឱ្យអ្នកចាត់វិធានការជាបន្ទាន់។
• ល្អពេកក្នុងការផ្តល់ជូនពិត ៖ អ៊ីមែលបន្លំអាចសន្យាថានឹងផ្តល់រង្វាន់ រង្វាន់ ឬការផ្តល់ជូនដែលមិនគួរឱ្យជឿដែលមានបំណងទាក់ទាញអ្នកឱ្យចុចលើតំណភ្ជាប់ព្យាបាទ ឬការផ្តល់ព័ត៌មានផ្ទាល់ខ្លួន។
• តំណភ្ជាប់ដែលមិនរំពឹងទុក ៖ សូមប្រយ័ត្នចំពោះអ៊ីមែលដែលមានតំណភ្ជាប់ដែលមិននឹកស្មានដល់។ ជំនួសឱ្យការចុច សូមវាយអាសយដ្ឋានគេហទំព័រផ្លូវការដោយដៃទៅក្នុងកម្មវិធីរុករករបស់អ្នក។
• ឧបាយកលតាមអារម្មណ៍ ៖ អ៊ីមែលបោកបញ្ឆោតអាចព្យាយាមបញ្ឆេះអារម្មណ៍ដូចជា ការចង់ដឹងចង់ឃើញ ការអាណិតអាសូរ ឬការរំភើប ដើម្បីឱ្យអ្នកចូលទៅកាន់តំណ ឬទាញយកឯកសារភ្ជាប់។
• កង្វះព័ត៌មានទំនាក់ទំនង ៖ អង្គការស្របច្បាប់ជាធម្មតាផ្តល់ព័ត៌មានទំនាក់ទំនង។ ប្រសិនបើអ៊ីមែលខ្វះព័ត៌មាននេះ ឬផ្តល់តែអាសយដ្ឋានអ៊ីមែលទូទៅ សូមប្រយ័ត្ន។

ការរក្សាការប្រុងប្រយ័ត្ន និងអប់រំខ្លួនអ្នកអំពីទង់ក្រហមទាំងនេះអាចដើរតួនាទីយ៉ាងវែងក្នុងការការពារខ្លួនអ្នកពីការប៉ុនប៉ងបន្លំ។ ប្រសិនបើអ្នកទទួលបានអ៊ីមែលដែលបង្កឱ្យមានការសង្ស័យ វាជាការប្រសើរក្នុងការផ្ទៀងផ្ទាត់ភាពស្របច្បាប់របស់វាតាមរយៈបណ្តាញផ្លូវការ មុនពេលធ្វើសកម្មភាពណាមួយ។