មេរោគ MintsLoader
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការសកម្មមួយដែលប្រើប្រាស់កម្មវិធីផ្ទុកមេរោគដែលគេស្គាល់ថា MintsLoader ។ ការគំរាមកំហែងដែលមានមូលដ្ឋានលើ PowerShell នេះត្រូវបានប្រើប្រាស់ដើម្បីចែកចាយបន្ទុកបន្ទាប់បន្សំ រួមទាំងអ្នកលួចព័ត៌មាន StealC និងវេទិកាប្រភពបើកចំហស្របច្បាប់ដែលហៅថា BOINC ។ បញ្ជូនតាមរយៈអ៊ីមែលសារឥតបានការ MintsLoader ប្រើតំណភ្ជាប់ទៅកាន់ទំព័រ KongTuke ឬ ClickFix ឬឯកសារ JScript ព្យាបាទ ដើម្បីទទួលបានការចូលប្រើប្រព័ន្ធរបស់ជនរងគ្រោះ។ យុទ្ធនាការដែលបានរកឃើញនៅដើមខែមករា ឆ្នាំ 2025 បានកំណត់គោលដៅជាចម្បងលើវិស័យសំខាន់ៗដូចជា អគ្គិសនី ប្រេង និងឧស្ម័ន និងសេវាច្បាប់នៅសហរដ្ឋអាមេរិក និងអឺរ៉ុប។
តារាងមាតិកា
CAPTCHA ក្លែងក្លាយជំរុញឱ្យ៖ ចំណុចចូលបញ្ឆោត
យុទ្ធនាការនេះទាញយកនិន្នាការកើនឡើងនៅក្នុងយុទ្ធសាស្ត្របង្កគ្រោះថ្នាក់ ដូចជាការបំពានលើការជម្រុញការផ្ទៀងផ្ទាត់ CAPTCHA ក្លែងក្លាយ។ ទំព័របោកបញ្ឆោតទាំងនេះបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យដំណើរការស្គ្រីប PowerShell ដែលត្រូវបានសម្របសម្រួលដោយដាក់ជាការត្រួតពិនិត្យការផ្ទៀងផ្ទាត់របស់មនុស្សជាប្រចាំ។ ត្រូវបានគេស្គាល់ថាជាបច្ចេកទេស KongTuke និង ClickFix ការវាយប្រហារទាំងនេះរៀបចំអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យដោយបញ្ចូលស្គ្រីបព្យាបាទទៅក្នុងទ្រនាប់ចម្លង/បិទភ្ជាប់របស់ពួកគេ។ បន្ទាប់មក ជនរងគ្រោះត្រូវបានណែនាំឱ្យបិទភ្ជាប់ និងប្រតិបត្តិស្គ្រីបនៅក្នុងបង្អួចដំណើរការវីនដូ ដោយបញ្ចប់ដំណាក់កាលដំបូងនៃការជ្រៀតចូលរបស់អ្នកវាយប្រហារ។
របៀបដែល KongTuke ចាក់ស្គ្រីបក្លែងបន្លំ
KongTuke ពឹងផ្អែកលើយន្តការចាក់ស្គ្រីបដែលបណ្តាលឱ្យគេហទំព័រគោលដៅបង្ហាញទំព័រ 'ផ្ទៀងផ្ទាត់អ្នកជាមនុស្ស' ក្លែងក្លាយ។ នៅពេលដែលជនរងគ្រោះធ្វើអន្តរកម្មជាមួយទំព័រទាំងនេះ ស្គ្រីប PowerShell ដ៏អាក្រក់ត្រូវបានផ្ទុកដោយស្ងៀមស្ងាត់ទៅក្នុងក្ដារតម្បៀតខ្ទាស់របស់ពួកគេ។ ទំព័រនេះផ្តល់នូវការណែនាំច្បាស់លាស់អំពីរបៀបបិទភ្ជាប់ និងប្រតិបត្តិស្គ្រីប ដែលធ្វើឱ្យការវាយប្រហារមានលក្ខណៈសាមញ្ញ និងមានប្រសិទ្ធភាព។ យុទ្ធនាការដែលពាក់ព័ន្ធដែលចែកចាយ BOINC បង្ហាញពីរបៀបដែលការរីករាលដាលនៃបច្ចេកទេសបោកប្រាស់នេះបានក្លាយទៅជា។
ខ្សែសង្វាក់ឆ្លងមេរោគដ៏ទំនើបរបស់ MintsLoader
ខ្សែសង្វាក់វាយប្រហាររបស់ MintsLoader ចាប់ផ្តើមជាមួយនឹងតំណភ្ជាប់ក្លែងបន្លំដែលបញ្ជូនតាមរយៈអ៊ីម៉ែលសារឥតបានការ។ នៅពេលចុច តំណភ្ជាប់នឹងទាញយកឯកសារ JavaScript ដែលមិនច្បាស់។ ឯកសារនេះបង្កើតពាក្យបញ្ជា PowerShell ដើម្បីទាញយក MintsLoader ដោយប្រើ curl ប្រតិបត្តិវា និងលុបខ្លួនវាចេញពីប្រព័ន្ធ ដើម្បីជៀសវាងការរកឃើញ។ នៅក្នុងផ្លូវវាយប្រហារជំនួស អ្នកប្រើប្រាស់ត្រូវបានបញ្ជូនបន្តទៅទំព័ររចនាប័ទ្ម ClickFix ដែលជាកន្លែងដែលពួកគេត្រូវបានជំរុញម្តងទៀតឱ្យប្រតិបត្តិស្គ្រីបនៅក្នុងប្រអប់បញ្ចូល Windows Run ។
នៅពេលដែលត្រូវបានដាក់ពង្រាយ MintsLoader ទាក់ទងម៉ាស៊ីនមេ Command-and-Control (C2) ដើម្បីទាញយកបន្ទុកបន្ថែម។ ស្គ្រីប PowerShell បណ្តោះអាសន្នទាំងនេះធ្វើការត្រួតពិនិត្យប្រព័ន្ធដើម្បីគេចពីប្រអប់ខ្សាច់ និងឧបករណ៍វិភាគផ្សេងទៀត។ កម្មវិធីផ្ទុកទិន្នន័យក៏រួមបញ្ចូលនូវ Domain Generation Algorithm (DGA) ដែលបង្កើតឈ្មោះដែន C2 យ៉ាងសកម្មដោយបន្ថែមថ្ងៃបច្ចុប្បន្ននៃខែទៅតម្លៃគ្រាប់ពូជ។
StealC: បន្ទុកដ៏មានឥទ្ធិពលជាមួយនឹងការលើកលែងក្នុងតំបន់
យុទ្ធនាការវាយប្រហារឈានដល់ការដាក់ពង្រាយ StealC ដែលជាអ្នកលួចព័ត៌មានដែលត្រូវបានទីផ្សារជាផ្នែកមួយនៃប្រព័ន្ធអេកូ Malware-as-a-Service (MaaS) ចាប់តាំងពីដើមឆ្នាំ 2023។ ទំនងជាកំណែវិស្វកម្មឡើងវិញនៃ Arkei Stealer , StealC មានភាពជឿនលឿន។ បច្ចេកទេសគេចវេស។ លក្ខណៈពិសេសគួរឱ្យកត់សម្គាល់មួយគឺសមត្ថភាពកំណត់គោលដៅក្នុងតំបន់របស់វា - វាជៀសវាងប្រព័ន្ធឆ្លងដែលមានទីតាំងនៅក្នុងប្រទេសរុស្ស៊ី អ៊ុយក្រែន បេឡារុស្ស កាហ្សាក់ស្ថាន និងអ៊ូសបេគីស្ថាន ដែលបង្ហាញពីការជម្រុញ ឬឧបសគ្គជាក់លាក់ដែលណែនាំការអភិវឌ្ឍន៍របស់វា។
ការកើនឡើងការគំរាមកំហែង និងការប្រុងប្រយ័ត្នរបស់អ្នកប្រើប្រាស់
ការរកឃើញរបស់ MintsLoader និងយុទ្ធនាការដែលពាក់ព័ន្ធរបស់វាបានគូសបញ្ជាក់ពីភាពវិវឌ្ឍន៍នៃការវាយប្រហារតាមអ៊ីនធឺណិតដែលផ្តោតលើឧស្សាហកម្មសំខាន់ៗ។ តាមរយៈការទាញយកការជឿទុកចិត្តតាមរយៈ CAPTCHA ក្លែងក្លាយ និងប្រើប្រាស់យន្តការចែកចាយដ៏ស្មុគស្មាញ អ្នកវាយប្រហារបន្តបង្កើតវិធីសាស្ត្ររបស់ពួកគេ។ នៅពេលដែលការគំរាមកំហែងបែបនេះកាន់តែរីកចម្រើន ការប្រុងប្រយ័ត្នរបស់អ្នកប្រើប្រាស់នៅតែជាការការពារដ៏សំខាន់ប្រឆាំងនឹងការធ្លាក់ខ្លួនជាជនរងគ្រោះនៃគម្រោងបោកប្រាស់ទាំងនេះ។
