សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង មេរោគ JackFix Malware Campaign

JackFix Malware Campaign

ដោយ Mezo ក្នុង មេរោគ
បកប្រែទៅ៖

ការស៊ើបអង្កេតនាពេលថ្មីៗនេះបង្ហាញពីរលកនៃការវាយប្រហារដែលកំពុងកើនឡើងដែលប្រើប្រាស់វិស្វកម្មសង្គមតាមរចនាប័ទ្ម ClickFix ។ គ្រោងការណ៍ទាំងនេះពឹងផ្អែកលើការបញ្ចុះបញ្ចូលជនរងគ្រោះឱ្យប្រតិបត្តិពាក្យបញ្ជាដែលបង្កគ្រោះថ្នាក់ដោយខ្លួនឯង ជាញឹកញាប់តាមរយៈការជម្រុញបច្ចេកទេសជាដំណាក់កាល។ ប្រតិបត្តិការចុងក្រោយនេះ ប្រើយុទ្ធសាស្ត្រនេះបន្ថែមទៀត ដោយផ្គូផ្គងវាជាមួយគេហទំព័រមនុស្សពេញវ័យក្លែងក្លាយ និងការជូនដំណឹងអំពីការអាប់ដេតវីនដូក្លែងក្លាយ បង្កើតបានជាក្រុមសន្តិសុខខ្សែសង្វាក់ឆ្លងមេរោគដែលមានឧបាយកលខ្លាំង បានដាក់ឈ្មោះថា JackFix ។

ផតថលបន្លំតាមប្រធានបទសម្រាប់មនុស្សពេញវ័យជាចំណុចចូល

យុទ្ធនាការនេះចាប់ផ្តើមជាមួយនឹងគេហទំព័រមនុស្សពេញវ័យក្លែងបន្លំដែលបង្កើតឡើងដើម្បីស្រដៀងនឹងវេទិកាល្បី ដែលចែកចាយតាមរយៈការផ្សាយពាណិជ្ជកម្មខុស និងបច្ចេកទេសប្តូរទិសផ្សេងទៀត។ នៅពេលដែលអ្នកប្រើប្រាស់ចូលទៅកាន់ទំព័រទាំងនេះ ពួកគេត្រូវបានប្រឈមមុខយ៉ាងរហ័សជាមួយនឹងសារបន្ទាន់សម័យដែលត្រូវបានរៀបចំឡើងជាការជូនដំណឹងសុវត្ថិភាព Windows ដ៏សំខាន់។ ប្រធានបទសម្រាប់មនុស្សពេញវ័យបង្កើនសម្ពាធផ្លូវចិត្ត ធ្វើឱ្យការធ្វើបច្ចុប្បន្នភាពភ្លាមៗហាក់ដូចជាអាចជឿជាក់បាន និងបំបាក់ទឹកចិត្តអ្នកប្រើប្រាស់ពីការសាកសួរអំពីភាពត្រឹមត្រូវរបស់វា។

បំរែបំរួលមួយចំនួននៃគេហទំព័រទាំងនេះមានសុន្ទរកថារបស់អ្នកអភិវឌ្ឍន៍ជាភាសារុស្សី ដែលបង្ហាញពីការតភ្ជាប់ដែលអាចកើតមានចំពោះក្រុមគំរាមកំហែងដែលនិយាយភាសារុស្សី។

ការជូនដំណឹងអំពីការអាប់ដេតពេញអេក្រង់ដែលបោកបញ្ឆោត

នៅពេលដែលអ្នកទស្សនាធ្វើអន្តរកម្មជាមួយទំព័របញ្ឆោតទាំងឡាយ សមាសធាតុ HTML និង JavaScript ចាប់ផ្តើមការក្លែងបន្លំពេញអេក្រង់នៃប្រអប់ធ្វើបច្ចុប្បន្នភាពវីនដូភ្លាមៗ។ ចំណុចប្រទាក់ប្រើផ្ទៃខាងក្រោយពណ៌ខៀវ និងអត្ថបទពណ៌សសាមញ្ញ បន្ទររចនាប័ទ្មនៃសារប្រព័ន្ធដែលមានភាពបន្ទាន់ខ្ពស់។ JavaScript ព្យាយាមបង្ខំរបៀបពេញអេក្រង់ ខណៈពេលដែលកូដបន្ថែមព្យាយាមបិទគន្លឹះគេចចេញទូទៅ រួមទាំង Escape, F11, F5 និង F12 ដើម្បីអន្ទាក់អ្នកប្រើប្រាស់ក្នុងការអាប់ដេតក្លែងក្លាយ។
ទោះបីជាបែបនេះក៏ដោយ កំហុសក្នុងការអនុវត្តអនុញ្ញាតឱ្យ Escape និង F11 នៅតែដំណើរការ ដោយផ្តល់ឱ្យអ្នកប្រើប្រាស់នូវផ្លូវចេញ។

ចំណុចសំខាន់នៃការបោកបញ្ឆោតស្ថិតនៅក្នុងការណែនាំដែលបង្ហាញដល់ជនរងគ្រោះ៖ បើកប្រអប់ Windows Run បិទភ្ជាប់ពាក្យបញ្ជាដែលបានចម្លងជាមុន ហើយប្រតិបត្តិវា។ ការធ្វើតាមជំហានទាំងនេះ បើកដំណើរការបន្ទុកព្យាបាទ និងចាប់ផ្តើមការសម្របសម្រួល។

ចុចFix Dominance និងការវិវត្តនៃការវាយប្រហារ

សកម្មភាពរចនាប័ទ្ម ClickFix បានកើនឡើងយ៉ាងខ្លាំង ដែលឥឡូវនេះតំណាងឱ្យជិតពាក់កណ្តាលនៃព្រឹត្តិការណ៍ចូលប្រើប្រាស់ដំបូងដែលបានចងក្រងជាឯកសារ។ ជាប្រពៃណី ការគំរាមកំហែងបែបនេះក្លែងបន្លំការត្រួតពិនិត្យ CAPTCHA ឬការជម្រុញការដោះស្រាយបញ្ហា។ យុទ្ធនាការ JackFix បង្ហាញពីការផ្លាស់ប្តូរឆ្ពោះទៅរកការទាក់ទាញដែលមានលក្ខណៈដូចប្រព័ន្ធ និងកាន់តែស៊ីជម្រៅជាងមុន ដោយបង្ហាញពីរបៀបដែលអ្នកវាយប្រហារបន្តកែសម្រួលឧបាយកលផ្លូវចិត្ត ដើម្បីសម្រេចបាននូវការប្រតិបត្តិកូដដែលមានជំនួយពីអ្នកប្រើប្រាស់។

ភាពច្របូកច្របល់ជាស្រទាប់ និងការដឹកជញ្ជូនបន្ទុកដោយពាក្យបញ្ជា

ពាក្យបញ្ជាដំបូងដែលត្រូវបានប្រតិបត្តិនៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះប្រើ mshta.exe ដើម្បីដំណើរការបន្ទុក MSHTA ដែលមាន JavaScript ។ ស្គ្រីបនេះហៅពាក្យបញ្ជា PowerShell ដែលទាញយកដំណាក់កាល PowerShell មួយផ្សេងទៀតពីម៉ាស៊ីនមេពីចម្ងាយ។ ដើម្បីគេចពីការត្រួតពិនិត្យ ដែនដែលពាក់ព័ន្ធបានបញ្ជូនបន្តទៅកាន់គេហទំព័រដែលគ្មានគ្រោះថ្នាក់ដូចជា Google ឬ Steam នៅពេលចូលប្រើដោយដៃ។ មានតែសំណើដែលបានធ្វើឡើងតាមរយៈពាក្យបញ្ជា PowerShell ជាក់លាក់ដូចជា irm ឬ iwr បង្កឱ្យមានការឆ្លើយតបដែលមានគំនិតអាក្រក់ ដោយបន្ថែមរបាំងការវិភាគយ៉ាងសំខាន់។

ស្គ្រីប PowerShell ដែលបានទាញយករួមមានការយល់ច្រឡំយ៉ាងធ្ងន់ធ្ងរ៖ កូដឥតបានការ តក្កវិជ្ជាលាក់កំបាំង និងការត្រួតពិនិត្យដែលមានន័យថារារាំងវិស្វកម្មបញ្ច្រាស។ វាក៏ព្យាយាមបង្កើនសិទ្ធិ និងបន្ថែមការបដិសេធកំចាត់មេរោគដែលភ្ជាប់ទៅនឹងចំណុចបញ្ចប់ C2 និងថតដំណាក់កាល។

ការដំឡើងសិទ្ធិដោយបង្ខំ និងការដាក់ពង្រាយបន្ទុក

ការលើកកម្ពស់សិទ្ធិត្រូវបានបន្តដោយប្រើ cmdlet ចាប់ផ្តើមដំណើរការជាមួយប៉ារ៉ាម៉ែត្រ -Verb RunAs ដោយជំរុញជនរងគ្រោះម្តងហើយម្តងទៀតរហូតដល់សិទ្ធិរដ្ឋបាលត្រូវបានផ្តល់។ នៅពេលដែលត្រូវបានកើនឡើង ស្គ្រីបដាក់ពង្រាយសមាសភាគបន្ថែម ដែលជាញឹកញាប់ trojans ចូលប្រើពីចម្ងាយស្រាល ដែលត្រូវបានរចនាឡើងដើម្បីទាក់ទងម៉ាស៊ីនមេ C2 និងទាញយកមេរោគបន្ថែមទៀត។

ក្រុម Arsenal ចម្រុះនៃអ្នកលួចនិងអ្នកផ្ទុក

មេរោគនេះត្រូវបានគេសង្កេតឃើញផ្តល់នូវបន្ទុកផ្សេងគ្នារហូតដល់ទៅប្រាំបី រួមទាំង៖

  • Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
  • ឧបករណ៍ផ្ទុក និង RAT ផ្សេងទៀតបានប្រើដើម្បីធ្វើការគំរាមកំហែងតាមក្រោយ

ការអនុវត្តជោគជ័យតែមួយគត់គឺគ្រប់គ្រាន់ដើម្បីបំផ្លាញទិន្នន័យរសើប។ ជនរងគ្រោះប្រឈមនឹងការបាត់បង់លិខិតសម្គាល់ ការកាន់កាប់គ្រីបតូ និងព័ត៌មានផ្ទាល់ខ្លួនផ្សេងទៀត។ កម្មវិធីផ្ទុកទិន្នន័យមួយចំនួនក៏អនុញ្ញាតឱ្យអ្នកវាយប្រហារពង្រីកការឈ្លានពានជាមួយនឹងមេរោគដ៏ខ្លាំងក្លាបន្ថែមទៀត ដែលបង្កើនផលប៉ះពាល់យ៉ាងខ្លាំង។

និន្នាការ

UPS -...

ការបន្លំ, សារឥតបានការ
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតតែងតែក្លែងបន្លំយុទ្ធនាការបន្លំរបស់ពួកគេជាការធ្វើបច្ចុប្បន្នភាពនៃការចែកចាយ ហើយ UPS – សកម្មភាពចាំបាច់សម្រាប់ការបោកប្រាស់ការដឹកជញ្ជូនរបស់អ្នកគឺជាឧទាហរណ៍ដ៏សំខាន់មួយ។ ទោះបីជាវាហាក់បីដូចជាមកពីក្រុមហ៊ុននាំសំបុត្រដែលគួរឱ្យទុកចិត្តក៏ដោយ វាមិនជាប់ពាក់ព័ន្ធជាមួយក្រុមហ៊ុន អង្គការ ឬអ្នកផ្តល់សេវាស្របច្បាប់ណាមួយឡើយ។ អ៊ីមែលនេះធ្វើត្រាប់តាមការជូនដំណឹងអំពីការដឹកជញ្ជូនពិតប្រាកដ...

តម្រូវឱ្យមានការអនុញ្ញាតការបញ្ជូនសារ

ការបន្លំ, សារឥតបានការ
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្តពឹងផ្អែកលើការទាក់ទាញអ៊ីមែលដែលអាចជឿជាក់បាន ដើម្បីបញ្ឆោតអ្នកទទួលឱ្យផ្តល់ព័ត៌មានរសើប។ ឧទាហរណ៍ចុងក្រោយបំផុតមួយគឺ Message Delivery Authorization Required Scam ដែលជាប្រតិបត្តិការដែលបានរចនាឡើងដើម្បីយកតម្រាប់តាមការជូនដំណឹងប្រអប់សំបុត្រជាប្រចាំ និងរៀបចំអ្នកប្រើប្រាស់ឱ្យចុះចាញ់នូវព័ត៌មានសម្ងាត់គណនីរបស់ពួកគេ។ ទោះបីជាសារទាំងនេះមើលទៅមានលក្ខណៈវិជ្ជាជីវៈក៏ដោយ...

Avanzi Ransomware

Ransomware
នៅក្នុងវគ្គនៃការពិនិត្យមើលកម្មវិធីដែលអាចគំរាមកំហែងបាន អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណបំរែបំរួល ransomware ដែលហៅថា Avanzi ។ នៅពេលដែលការជ្រៀតចូលកុំព្យូទ័រដោយជោគជ័យ Avanzi...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
30,532
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
22,681
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...
កំពុង​ផ្ទុក...