មេរោគ MassJacker

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានបង្ហាញយុទ្ធនាការមេរោគថ្មីដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ដែលកំពុងស្វែងរកកម្មវិធីលួចចម្លង។ ការវាយប្រហារនេះផ្តល់នូវមេរោគ clipper ដែលមិនមានឯកសារពីមុនហៅថា MassJacker ដែលត្រូវបានរចនាឡើងដើម្បីលួចរូបិយបណ្ណរូបិយបណ្ណដោយបំប្លែងទិន្នន័យក្ដារតម្បៀតខ្ទាស់។

របៀបដែល MassJacker ដំណើរការ: ការគំរាមកំហែងមេរោគ Clipper

មេរោគ Clipper គឺជាការគំរាមកំហែងតាមអ៊ីនធឺណេតដែលតាមដានសកម្មភាពរបស់ក្តារតម្បៀតខ្ទាស់របស់ជនរងគ្រោះ។ នៅពេលដែលអ្នកប្រើប្រាស់កុំព្យូទ័រចម្លងអាសយដ្ឋានកាបូបលុយគ្រីបតូ មេរោគនឹងជំនួសវាដោយអាសយដ្ឋានដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដោយប្តូរទិសដៅមូលនិធិទៅឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតជំនួសឱ្យអ្នកទទួលដែលមានបំណង។

Pesktop.com៖ ច្រកផ្លូវទៅកាន់ការឆ្លង

ខ្សែសង្វាក់ឆ្លងមេរោគចាប់ផ្តើមជាមួយ Pesktop.com ដែលជាគេហទំព័រលាក់បាំងជាប្រភពសម្រាប់កម្មវិធីលួចចម្លង។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកប្រើប្រាស់ដែលទាញយកពីគេហទំព័រនេះដោយមិនដឹងខ្លួន ទទួលបានមេរោគប្រភេទផ្សេងៗ រួមជាមួយនឹងកម្មវិធីដែលពួកគេចង់បាន។

នៅពេលដែលអ្នកប្រើប្រាស់ដំណើរការកម្មវិធីដែលអាចប្រតិបត្តិបានដំបូង វាចាប់ផ្តើមស្គ្រីប PowerShell ដែលទាញយកមេរោគ botnet ដែលហៅថា Amadey រួមជាមួយនឹងប្រព័ន្ធគោលពីរ .NET ពីរដែលត្រូវបានរចនាឡើងសម្រាប់ទាំងស្ថាបត្យកម្ម 32 ប៊ីត និង 64 ប៊ីត។ ប្រព័ន្ធគោលពីរទាំងនេះ ដែលមានឈ្មោះកូដថា PackerE ទាញយក DLL ដែលបានអ៊ិនគ្រីប ដែលបន្ទាប់មកបើកដំណើរការ MassJacker payload ដោយបញ្ចូលវាទៅក្នុងដំណើរការ Windows ស្របច្បាប់ដែលគេស្គាល់ថា InstalUtil.exe ។

របៀបបំបាំងកាយ៖ របៀបដែល MassJacker គេចពីការរកឃើញ

ដើម្បីជៀសវាងការរកឃើញ មេរោគប្រើបច្ចេកទេសបំភាន់ជាច្រើន រួមទាំង៖

• JIT Hooking ៖ កែប្រែការចងក្រង Just-In-Time (JIT) ដើម្បីគេចពីការវិភាគ។
• Metadata Token Mapping ៖ លាក់មុខងារហៅទូរសព្ទដើម្បីធ្វើឱ្យការវិភាគកាន់តែពិបាក។
• ការប្រតិបត្តិម៉ាស៊ីននិម្មិតផ្ទាល់ខ្លួន ៖ ជំនួសឱ្យការដំណើរការកូដស្តង់ដារ .NET វាប្រតិបត្តិពាក្យបញ្ជាតាមរយៈម៉ាស៊ីននិម្មិតដើម្បីការពារការរកឃើញ។

លើសពីនេះ MassJacker ភ្ជាប់មកជាមួយនូវយន្តការប្រឆាំងការបំបាត់កំហុសរបស់ខ្លួន ដែលធ្វើឱ្យវាកាន់តែពិបាកសម្រាប់អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខក្នុងការវិភាគ។

របៀបដែល MassJacker ប្រមូលរូបិយប័ណ្ណគ្រីបតូ

នៅពេលដែលសកម្ម MassJacker បន្តតាមដានឃ្លីបបតរបស់ជនរងគ្រោះ។ វាស្កេនអត្ថបទដែលបានចម្លងដោយប្រើកន្សោមធម្មតាដើម្បីរកមើលអាសយដ្ឋានកាបូប cryptocurrency ។ ប្រសិនបើវារកឃើញការផ្គូផ្គង មេរោគនឹងជំនួសអាសយដ្ឋានកាបូបដែលបានចម្លងដោយមួយពីបញ្ជីដែលបានទាញយកជាមុនដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

MassJacker ទាក់ទងទៅម៉ាស៊ីនមេពីចម្ងាយ ដើម្បីទាញយកបញ្ជីអាសយដ្ឋានកាបូបដែលបានធ្វើបច្ចុប្បន្នភាព ដោយធានាថា មូលនិធិដែលត្រូវបានលួចបន្តហូរចូលទៅក្នុងគណនីដែលគ្រប់គ្រងដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។

មាត្រដ្ឋានដ៏គួរឱ្យភ្ញាក់ផ្អើលនៃការវាយប្រហារ

អ្នកស្រាវជ្រាវបានរកឃើញអាសយដ្ឋានកាបូបតែមួយគត់ជាង 778,531 ដែលពាក់ព័ន្ធនឹងអ្នកវាយប្រហារ។ ទោះជាយ៉ាងណាក៏ដោយ មានតែកាបូបចំនួន 423 ប៉ុណ្ណោះក្នុងចំនោមកាបូបទាំងនេះដែលបច្ចុប្បន្នមានមូលនិធិសរុបប្រហែល $95,300 ។ មុនពេលមូលនិធិត្រូវបានផ្ទេរចេញ អ្នកវាយប្រហារបានប្រមូលទ្រព្យសម្បត្តិឌីជីថលដែលលួចបានប្រហែល 336,700 ដុល្លារ។

កាបូបតែមួយដែលភ្ជាប់ទៅនឹងយុទ្ធនាការនេះទទួលបានប្រហែល 87,000 ដុល្លារ (600 SOL) ជាមួយនឹងប្រតិបត្តិការជាង 350 ដែលផ្តល់មូលនិធិចូលទៅក្នុងវាពីអាសយដ្ឋានដែលបានសម្របសម្រួលផ្សេងៗ។

តើអ្នកណានៅពីក្រោយ MassJacker?

អត្តសញ្ញាណរបស់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនៅពីក្រោយ MassJacker នៅតែមិនស្គាល់។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវបានរកឃើញភាពស្រដៀងគ្នារវាង MassJacker និងមេរោគមួយទៀតហៅថា MassLogger ដែលប្រើ JIT hooking ដើម្បីទប់ទល់នឹងការវិភាគផងដែរ។ នេះបង្ហាញពីទំនាក់ទំនងដែលអាចកើតមានរវាងការគំរាមកំហែងទាំងពីរ ឬផ្ទៃខាងក្រោយនៃការអភិវឌ្ឍន៍រួមគ្នា។

រក្សាសុវត្ថិភាព៖ របៀបការពារខ្លួនអ្នក

• ជៀសវាងការទាញយកកម្មវិធីលួចចម្លង – គេហទំព័រកម្មវិធីខុសច្បាប់ជាច្រើនបម្រើជាវេទិកាចែកចាយសម្រាប់មេរោគ។
• ប្រើកម្មវិធីសុវត្ថិភាពខ្លាំង - ឧបករណ៍រកឃើញប្រឆាំងមេរោគដែលអាចទុកចិត្តបានអាចជួយស្វែងរកការគំរាមកំហែងមុនពេលវាបង្កគ្រោះថ្នាក់។
• ពិនិត្យអាសយដ្ឋានកាបូបពីរដង - តែងតែផ្ទៀងផ្ទាត់អាសយដ្ឋានកាបូបដោយដៃមុនពេលផ្ទេររូបិយប័ណ្ណគ្រីបតូ។
• រក្សាការអាប់ដេតកម្មវិធី – ការធ្វើបច្ចុប្បន្នភាពជាប្រចាំធានាថាភាពងាយរងគ្រោះត្រូវបានជួសជុល កាត់បន្ថយហានិភ័យនៃការឆ្លងមេរោគ។

នៅពេលដែលឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្តវិវឌ្ឍយុទ្ធសាស្ត្ររបស់ពួកគេ ការរក្សាព័ត៌មាន និងការប្រុងប្រយ័ត្នគឺជាការការពារដ៏ល្អបំផុតប្រឆាំងនឹងការគំរាមកំហែងដូចជា MassJacker ។