ការវាយប្រហារវិស្វកម្មសង្គម FileFix

អ្នកស្រាវជ្រាវបានរកឃើញយុទ្ធនាការបន្លំនាពេលថ្មីៗនេះដែលប្រើបំរែបំរួលនៃបច្ចេកទេសវិស្វកម្មសង្គម FileFix ដើម្បីផ្តល់ StealC information-stealer ។ យុទ្ធនាការនេះពឹងផ្អែកលើគេហទំព័រក្លែងក្លាយដែលមានច្រើនភាសា (ឧទាហរណ៍ដែលបានសង្កេតឃើញរួមមានទំព័រ 'សុវត្ថិភាពហ្វេសប៊ុក' ក្លែងក្លាយ) ភាពច្របូកច្របល់ខ្លាំង និងល្បិចប្រឆាំងនឹងការវិភាគ និងខ្សែសង្វាក់ចែកចាយបន្ទុកមិនធម្មតាដែលបំពានសេវាកម្មស្របច្បាប់ដើម្បីគេចពីការរកឃើញ។

របៀបដែលជនរងគ្រោះត្រូវបានល្បួង

ការវាយប្រហារជាធម្មតាចាប់ផ្តើមដោយអ៊ីមែលប្រាប់អ្នកទទួលគណនី Facebook របស់ពួកគេមានហានិភ័យនៃការផ្អាកសម្រាប់ការបំពានគោលការណ៍ដែលត្រូវបានចោទប្រកាន់ និងជំរុញឱ្យពួកគេប្តឹងតវ៉ា។ ការចុចលើតំណបណ្តឹងឧទ្ធរណ៍បង្វែរអ្នកប្រើប្រាស់ទៅកាន់ទំព័របន្លំគួរឱ្យជឿជាក់។ ទំព័រនោះសន្យាថាជា PDF នៃការរំលោភបំពានដែលសន្មត់ថា និងណែនាំអ្នកប្រើប្រាស់ឱ្យចម្លង និងបិទភ្ជាប់ផ្លូវចូលទៅក្នុង File Explorer ដើម្បីចូលប្រើវា ប៉ុន្តែការណែនាំដែលងាយស្រួលប្រើគឺជាការប្រើប្រាស់។

ល្បិច FileFix

FileFix ខុសគ្នាពីបច្ចេកទេសស្រដៀងគ្នានៅក្នុងរបៀបដែលវាទទួលបានកូដប្រតិបត្តិក្នុងមូលដ្ឋាន។ ជំនួសឱ្យការសួរជនរងគ្រោះឱ្យបើកប្រអប់រត់ ហើយបិទភ្ជាប់ពាក្យបញ្ជា FileFix ប្រើមុខងារផ្ទុកឯកសារ/ចម្លងរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតខុស ដូច្នេះជនរងគ្រោះបិទភ្ជាប់ខ្សែអក្សរទៅក្នុងរបារអាសយដ្ឋាន File Explorer ។ អត្ថបទដែលមើលឃើញមើលទៅដូចជាផ្លូវឯកសារដែលគ្មានកំហុស ប៉ុន្តែក្ដារតម្បៀតខ្ទាស់ពិតជាមានពាក្យបញ្ជា PowerShell ពហុដំណាក់កាលព្យាបាទដែលមានចន្លោះពីក្រោយ ដូច្នេះមានតែផ្លូវដែលគ្មានគ្រោះថ្នាក់លេចឡើងនៅពេលបិទភ្ជាប់។ នៅពេលដែលជនរងគ្រោះបើក File Explorer ហើយបិទភ្ជាប់ ពាក្យបញ្ជាលាក់នឹងដំណើរការក្នុងមូលដ្ឋាន។

ខ្សែសង្វាក់វាយប្រហារ

អ្នក​ប្រើ​ត្រូវ​បាន​បញ្ជូន​បន្ត​ពី​អ៊ីមែល​បន្លំ​ទៅ​គេហទំព័រ​ក្លែងក្លាយ​ច្រើន​ភាសា​ដែល​មាន​ការ​យល់​ច្រឡំ​ខ្លាំង។

• ការចុចប៊ូតុងនៃគេហទំព័រនេះធ្វើឱ្យលំហូរ FileFix ហើយក្ដារតម្បៀតខ្ទាស់ត្រូវបានបំពេញដោយពាក្យបញ្ជា PowerShell ដែលលាក់។
• ស្គ្រីប PowerShell ទាញយករូបភាពដែលមើលទៅហាក់ដូចជាស្លូតបូតពីឃ្លាំង Bitbucket ។
• រូបភាពត្រូវបានឌិកូដទៅក្នុង payload ដំណាក់កាលបន្ទាប់។
• កម្មវិធីផ្ទុកទិន្នន័យដែលមានមូលដ្ឋានលើ Go ត្រូវបានប្រតិបត្តិ ពន្លាកូដសែល ហើយទីបំផុតបើកដំណើរការ StealC info-stealer ។

បំពានសេវាកម្មបង្ហោះដែលជឿទុកចិត្ត

ប្រតិបត្តិករផ្ទុកបន្ទុកដែលបានអ៊ិនកូដនៅខាងក្នុងរូបភាពនៅលើឃ្លាំង Bitbucket ។ ការប្រើវេទិកាបង្ហោះកូដប្រភពដែលមានកេរ្តិ៍ឈ្មោះជួយឱ្យអ្នកវាយប្រហារលាក់ចរាចរណ៍នៅក្នុងសំណើស្របច្បាប់ផ្សេងទៀត និងកាត់បន្ថយឱកាសនៃការទប់ស្កាត់ដោយស្វ័យប្រវត្តិដោយផ្អែកលើកេរ្តិ៍ឈ្មោះគោលដៅ។

បច្ចេកទេសប្រឆាំងនិងការវិភាគ

ទំព័របន្លំ និងស្គ្រីបមិនសាមញ្ញទេ៖ ប្រតិបត្តិករបានប្រើការបំភាន់ ការបែងចែក និងកូដឥតបានការកម្រិតខ្ពស់ ដើម្បីធ្វើឲ្យអ្នកវិភាគ និងម៉ាស៊ីនស្កេនស្វ័យប្រវត្តិខកចិត្ត។ ហេដ្ឋារចនាសម្ព័ន្ធមានច្រើនភាសា និងមានភាពល្អិតល្អន់ ដែលបង្កើនឱកាសនៃការបោកបញ្ឆោតអ្នកនិយាយដែលមិនមែនជាភាសាអង់គ្លេស និងធ្វើឱ្យគេហទំព័រនេះមើលទៅពិតប្រាកដ។

FileFix ទល់នឹង ClickFix

FileFix បំពានលំហូរផ្ទុកឡើង/ចម្លងឯកសាររបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិត ដូច្នេះជនរងគ្រោះបិទភ្ជាប់ទៅក្នុងរបារអាសយដ្ឋានរបស់ File Explorer ជាជាងបើកដំណើរការប្រអប់រត់។

ClickFix តម្រូវឱ្យបិទភ្ជាប់ទៅក្នុងប្រអប់រត់ (ឬស្ថានីយនៅលើ macOS) ហើយត្រូវបានបង្កើតពី Explorer.exe ឬវគ្គស្ថានីយ។

ផលប៉ះពាល់ជាក់ស្តែង ៖ FileFix អាចរំលងការការពារដែលរារាំងការប្រើប្រាស់ប្រអប់ Run ព្រោះវាប្រើមុខងារកម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលប្រើយ៉ាងទូលំទូលាយជំនួសវិញ។

ភាពច្បាស់លាស់នៃការរកឃើញ ៖ ដោយសារតែ FileFix ពាក់ព័ន្ធនឹងកម្មវិធីរុករករបស់ជនរងគ្រោះដែលបង្កឱ្យមានខ្សែសង្វាក់ប្រតិបត្តិ សកម្មភាពអាចអាចមើលឃើញកាន់តែច្រើនចំពោះការត្រួតពិនិត្យចំណុចបញ្ចប់ ឬការស៊ើបអង្កេតឧប្បត្តិហេតុជាងការបង្កាត់ប្រអប់រត់ដែលប្រើដោយ ClickFix — ប៉ុន្តែវានៅតែកម្ចាត់ការការពារអ្នកប្រើប្រាស់ចុងក្រោយជាច្រើនតាមរយៈការបោកប្រាស់។

បច្ចេកទេសវិវត្តន៍របស់តារាសម្តែងគំរាមកំហែង

យុទ្ធនាការនេះបង្ហាញពីវិធីសាស្រ្តប្រកបដោយចេតនា និងធនធានដ៏ល្អ៖ ហេដ្ឋារចនាសម្ព័ន្ធបន្លំដែលបានរៀបចំយ៉ាងប្រុងប្រយ័ត្ន ការរចនាការផ្ទុកច្រើនដំណាក់កាល និងការប្រើប្រាស់ការបង្ហោះភាគីទីបីដែលគួរឱ្យទុកចិត្ត ដើម្បីបង្កើនប្រសិទ្ធភាពទាំងការបំបាំងកាយ និងប្រតិបត្តិការ។ សិប្បកម្មរបស់មារសត្រូវបង្ហាញថាពួកគេមានគម្រោងជៀសវាងការរកឃើញទូទៅ និងដើម្បីសម្រេចបាននូវការប្រតិបត្តិដែលអាចទុកចិត្តបាននៅទូទាំងគោលដៅចម្រុះ។