អ្នកលួច FrigidStealer
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការថ្មីមួយដែលដាក់ពង្រាយ Web injects ដើម្បីចែកចាយការគំរាមកំហែង macOS ដែលមិនស្គាល់អត្តសញ្ញាណពីមុនដែលគេស្គាល់ថា FrigidStealer ។ យុទ្ធនាការនេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងតួអង្គគំរាមកំហែងដែលត្រូវបានគេហៅថា TA2727 ដែលត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការគំរាមកំហែងលួចព័ត៌មានផងដែរដែលផ្តោតលើ Windows (Lumma Stealer, DeerStealer) និង Android ( Marcher ) ។
តារាងមាតិកា
TA2727 និងតួនាទីរបស់វានៅក្នុងទេសភាពគំរាមកំហែង
TA2727 ត្រូវបានគេស្គាល់ថាសម្រាប់ការប្រើល្បិចអាប់ដេតក្លែងក្លាយដើម្បីចែកចាយបន្ទុកព្យាបាទផ្សេងៗ។ វាគឺជាចង្កោមគំរាមកំហែងមួយក្នុងចំនោមក្រុមគម្រាមកំហែងដែលបានកំណត់អត្តសញ្ញាណថ្មីរួមជាមួយនឹង TA2726 ដែលជាតួសម្តែងដែលត្រូវបានវាយតម្លៃថាដំណើរការប្រព័ន្ធចែកចាយចរាចរដែលមានគ្រោះថ្នាក់ (TDS)។ ប្រព័ន្ធនេះអនុញ្ញាតឱ្យមានការរីករាលដាលនៃមេរោគដោយដឹកនាំចរាចរគេហទំព័រដែលត្រូវបានសម្របសម្រួលដល់តួអង្គគំរាមកំហែងដូចជា TA2727 និង TA569 ។
ទំនាក់ទំនងរវាង TA2726 និងតួអង្គគំរាមកំហែងផ្សេងទៀត។
TA2726 ដើរតួយ៉ាងសំខាន់ក្នុងការចែកចាយមេរោគដោយដើរតួជា TDS សម្រាប់ទាំង TA2727 និង TA569។ ក្រោយមកទៀតគឺមានភាពល្បីល្បាញសម្រាប់ការដាក់ពង្រាយ SocGholish (ត្រូវបានគេស្គាល់ផងដែរថាជា FakeUpdates) ដែលជាកម្មវិធីផ្ទុកទិន្នន័យផ្អែកលើ JavaScript ដែលក្លែងបន្លំជាការអាប់ដេតកម្មវិធីរុករកតាមអ៊ីនធឺណិតនៅលើគេហទំព័រដែលត្រូវបានសម្របសម្រួល។ ចាប់តាំងពីយ៉ាងហោចណាស់ខែកញ្ញាឆ្នាំ 2022 TA2726 បានសម្របសម្រួលការបញ្ជូនបន្តចរាចរណ៍សម្រាប់តួអង្គគំរាមកំហែងដែលជំរុញដោយហិរញ្ញវត្ថុទាំងនេះ ដែលធ្វើឱ្យវាក្លាយជាតួអង្គសំខាន់នៅក្នុងទិដ្ឋភាពគំរាមកំហែងតាមអ៊ីនធឺណិត។
ការអាប់ដេតក្លែងក្លាយ និងបន្ទុកតាមភូមិសាស្ត្រគោលដៅ
ទាំង TA2727 និង TA569 ចែកចាយការគំរាមកំហែងរបស់ពួកគេតាមរយៈគេហទំព័រដែលត្រូវបានចាក់បញ្ចូលជាមួយ JavaScript ដែលខូច។ គេហទំព័រដែលត្រូវបានសម្របសម្រួលទាំងនេះបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យទាញយកការអាប់ដេតកម្មវិធីរុករកតាមអ៊ីនធឺណិតក្លែងក្លាយសម្រាប់ Google Chrome ឬ Microsoft Edge ។ ទោះជាយ៉ាងណាក៏ដោយ TA2727 ប្រើប្រាស់វិធីសាស្រ្តដែលសមស្របជាងមុន ដោយផ្តល់នូវមេរោគជាក់លាក់ដោយផ្អែកលើទីតាំង និងប្រភេទឧបករណ៍របស់អ្នកទទួល។
ឧទាហរណ៍ ប្រសិនបើអ្នកប្រើ Windows នៅប្រទេសបារាំង ឬចក្រភពអង់គ្លេសចូលមើលគេហទំព័រដែលមានមេរោគ ពួកគេអាចនឹងត្រូវបានជំរុញឱ្យទាញយកឯកសារដំឡើង MSI ដែលបើកដំណើរការ Hijack Loader (DOILoader) ដែលបន្ទាប់មកផ្តល់ Lumma Stealer ។ ស្រដៀងគ្នានេះដែរ អ្នកប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ Android បានប្តូរទិសតាមរយៈគ្រោងការណ៍ដូចគ្នានេះ អាចនឹងទាញយក Marcher ដែលជា Trojan ធនាគារល្បីឈ្មោះដោយមិនដឹងខ្លួន ដែលសកម្មអស់រយៈពេលជាងមួយទសវត្សរ៍។
ការពង្រីកការវាយប្រហារទៅកាន់អ្នកប្រើប្រាស់ macOS
គិតត្រឹមខែមករា ឆ្នាំ 2025 TA2727 បានពង្រីកយុទ្ធនាការរបស់ខ្លួនដើម្បីកំណត់គោលដៅអ្នកប្រើប្រាស់ macOS ដែលរស់នៅក្រៅអាមេរិកខាងជើង។ អ្នកប្រើទាំងនេះត្រូវបានបញ្ជូនបន្តទៅទំព័រអាប់ដេតក្លែងបន្លំដែលបង្កឱ្យមានការទាញយក FrigidStealer ដែលជាអ្នកលួចព័ត៌មានដែលទើបតែកំណត់អត្តសញ្ញាណ។
ដើម្បីរំលងមុខងារសុវត្ថិភាព Gatekeeper របស់ Apple កម្មវិធីដំឡើង FrigidStealer តម្រូវឱ្យអ្នកប្រើប្រាស់បើកដំណើរការកម្មវិធីដែលមិនបានចុះហត្ថលេខាដោយដៃ។ នៅពេលដែលបានប្រតិបត្តិរួច កម្មវិធីដែលអាចប្រតិបត្តិបាន Mach-O ដែលបានបង្កប់នឹងដំឡើងការគំរាមកំហែង ដោយសម្គាល់ការកើនឡើងគួរឱ្យកត់សម្គាល់នៅក្នុងឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលកំណត់គោលដៅ macOS ។
របៀបដែល FrigidStealer ដំណើរការ
FrigidStealer ត្រូវបានបង្កើតឡើងដោយប្រើភាសាកម្មវិធី Go និងមានលក្ខណៈពិសេសការចុះហត្ថលេខាដោយ ad-hoc ។ គួរកត់សម្គាល់ថាវាប្រើប្រាស់គម្រោង WailsIO ដែលអនុញ្ញាតឱ្យបង្ហាញមាតិកានៅក្នុងកម្មវិធីរុករករបស់អ្នកប្រើប្រាស់។ យុទ្ធសាស្ត្រនេះបង្កើនការបំភាន់ថាកម្មវិធីដំឡើងព្យាបាទគឺស្របច្បាប់ បង្កើនលទ្ធភាពនៃការឆ្លងដោយជោគជ័យ។
នៅពេលដែលបានប្រតិបត្តិ FrigidStealer ប្រើ AppleScript ដើម្បីស្នើសុំពាក្យសម្ងាត់ប្រព័ន្ធរបស់អ្នកប្រើប្រាស់ ដោយផ្តល់សិទ្ធិឱ្យវាកើនឡើង។ ជាមួយនឹងការចូលប្រើនេះ ការគំរាមកំហែងអាចប្រមូលឯកសារ ទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលរសើប Apple Notes និងព័ត៌មានទាក់ទងនឹងរូបិយប័ណ្ណគ្រីបតូ ដែលបង្កហានិភ័យយ៉ាងខ្លាំងដល់អ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់។
រូបភាពធំជាងនេះ៖ យុទ្ធនាការមេរោគតាមគេហទំព័រ
ការប្រើប្រាស់គេហទំព័រដែលត្រូវបានសម្របសម្រួលជាយន្តការចែកចាយមេរោគបង្ហាញពីនិន្នាការដែលកំពុងបន្តនៅក្នុងការគំរាមកំហែងតាមអ៊ីនធឺណិត។ អ្នកវាយប្រហារកំពុងកំណត់បន្ទុកតាមបំណងដោយផ្អែកលើប្រព័ន្ធប្រតិបត្តិការ និងទីតាំងភូមិសាស្ត្ររបស់គោលដៅ ដោយធានាបាននូវផលប៉ះពាល់អតិបរមា។ ទោះបីជាប្រព័ន្ធ macOS នៅតែមិនសូវមាននៅក្នុងបរិយាកាសសហគ្រាសបើធៀបនឹង Windows យុទ្ធនាការនេះពង្រឹងតម្រូវការដែលកំពុងកើនឡើងសម្រាប់អ្នកប្រើប្រាស់ macOS ឱ្យមានការប្រុងប្រយ័ត្នខ្ពស់ប្រឆាំងនឹងការគំរាមកំហែងតាមអ៊ីនធឺណិត។
