កណ្តុរ Mirax

មេរោគ Trojan ចូលប្រើពីចម្ងាយរបស់ Android ដែលទើបត្រូវបានកំណត់អត្តសញ្ញាណថ្មី គឺ Mirax កំពុងកំណត់គោលដៅយ៉ាងសកម្មនៅតំបន់ដែលនិយាយភាសាអេស្ប៉ាញតាមរយៈយុទ្ធនាការប្រព័ន្ធផ្សព្វផ្សាយសង្គមទ្រង់ទ្រាយធំ។ ជនគំរាមកំហែងបានទាញយកអត្ថប្រយោជន៍ពីការផ្សាយពាណិជ្ជកម្មនៅលើវេទិកាដូចជា Facebook, Instagram, Messenger និង Threads ដោយឈានដល់គណនីជាង 220,000។ ការលាតត្រដាងយ៉ាងទូលំទូលាយនេះបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងដែលបានគណនាដើម្បីកេងប្រវ័ញ្ចប្រព័ន្ធអេកូឡូស៊ីផ្សាយពាណិជ្ជកម្មដែលគួរឱ្យទុកចិត្តសម្រាប់ការចែកចាយមេរោគ។

សមត្ថភាពបញ្ជាពីចម្ងាយកម្រិតខ្ពស់

Mirax ដំណើរការជា Remote Access Trojan (RAT) ដែលមានសមត្ថភាពខ្ពស់ ដោយផ្តល់ឱ្យអ្នកវាយប្រហារនូវការគ្រប់គ្រងពេញលេញ និងទាន់ពេលវេលាលើឧបករណ៍ដែលរងការគំរាមកំហែង។ មុខងាររបស់វាលាតសន្ធឹងហួសពីប្រតិបត្តិការ RAT ស្តង់ដារ ដោយអនុញ្ញាតឱ្យមានការឃ្លាំមើល និងអន្តរកម្មជាមួយប្រព័ន្ធដែលឆ្លងមេរោគក្នុងកម្រិតលម្អិត។ សមត្ថភាពរួមមានការកត់ត្រាការចុចគ្រាប់ចុច ការលួចយករូបថត ការប្រមូលទិន្នន័យអេក្រង់ចាក់សោ ការប្រតិបត្តិពាក្យបញ្ជា ការរុករកចំណុចប្រទាក់ និងការត្រួតពិនិត្យជាបន្តបន្ទាប់នៃសកម្មភាពរបស់អ្នកប្រើប្រាស់។

លើសពីនេះ មេរោគអាចទាញយក និងបង្ហាញ HTML overlays ថាមវន្តពីហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2) របស់វា ដែលជួយសម្រួលដល់ការប្រមូលផលព័ត៌មានសម្គាល់តាមរយៈចំណុចប្រទាក់បោកបញ្ឆោត។

ការប្រែក្លាយជនរងគ្រោះទៅជាហេដ្ឋារចនាសម្ព័ន្ធប្រូកស៊ី

លក្ខណៈពិសេសមួយរបស់ Mirax គឺសមត្ថភាពរបស់វាក្នុងការបំលែងឧបករណ៍ដែលឆ្លងមេរោគទៅជាថ្នាំងប្រូកស៊ីលំនៅដ្ឋាន។ តាមរយៈការបញ្ចូលការគាំទ្រពិធីការ SOCKS5 រួមជាមួយនឹងការធ្វើពហុគុណ Yamux មេរោគបង្កើតឆានែលប្រូកស៊ីអចិន្ត្រៃយ៍ដែលបញ្ជូនចរាចរណ៍អ្នកវាយប្រហារតាមរយៈអាសយដ្ឋាន IP អ្នកប្រើប្រាស់ស្របច្បាប់។ មុខងារនេះអនុញ្ញាតឱ្យគូប្រជែងរំលងការរឹតបន្តឹងទីតាំងភូមិសាស្ត្រ គេចវេះយន្តការរកឃើញការក្លែងបន្លំ និងធ្វើសកម្មភាពព្យាបាទដូចជាការកាន់កាប់គណនីដោយមានភាពអនាមិក និងភាពជឿជាក់កាន់តែប្រសើរ។

មេរោគ Malware-as-a-Service ជាមួយនឹងការចូលប្រើផ្តាច់មុខ

Mirax ត្រូវបានដាក់លក់ជាការផ្តល់ជូន Malware-as-a-Service (MaaS) ក្រោមឈ្មោះ 'Mirax Bot'។ ការចូលប្រើប្រាស់កំណែពេញលេញមានតម្លៃ 2,500 ដុល្លារសម្រាប់ការជាវរយៈពេលបីខែ។ ក្នុងពេលជាមួយគ្នានេះ កំណែបញ្ចុះតម្លៃអាចរកបានក្នុងតម្លៃ 1,750 ដុល្លារក្នុងមួយខែ ដោយខ្វះលក្ខណៈពិសេសដូចជាមុខងារប្រូកស៊ី និងសមត្ថភាពរំលង Google Play Protect។ មិនដូចវេទិកា MaaS ធម្មតាទេ ការចែកចាយត្រូវបានគ្រប់គ្រងយ៉ាងតឹងរ៉ឹង និងកំណត់ចំពោះក្រុមសាខាមានកំណត់ ជាពិសេសអ្នកសំដែងដែលនិយាយភាសារុស្ស៊ី ដែលមានកេរ្តិ៍ឈ្មោះល្បីល្បាញនៅក្នុងវេទិកាសម្ងាត់។ ភាពផ្តាច់មុខនេះបង្ហាញពីការផ្តោតអារម្មណ៍ដោយចេតនាលើសុវត្ថិភាពប្រតិបត្តិការ និងប្រសិទ្ធភាពយុទ្ធនាការប្រកបដោយចីរភាព។

វិស្វកម្មសង្គមតាមរយៈការផ្សាយពាណិជ្ជកម្មដែលមានគំនិតអាក្រក់

ខ្សែសង្វាក់នៃការឆ្លងមេរោគពឹងផ្អែកយ៉ាងខ្លាំងទៅលើយុទ្ធនាការផ្សាយពាណិជ្ជកម្មបោកប្រាស់ដែលបង្ហោះនៅលើវេទិកា Meta។ ការផ្សាយពាណិជ្ជកម្មទាំងនេះផ្សព្វផ្សាយសេវាកម្មផ្សាយតាមអ៊ីនធឺណិតក្លែងក្លាយដែលផ្តល់សិទ្ធិចូលមើលកីឡា និងភាពយន្តផ្សាយផ្ទាល់ដោយឥតគិតថ្លៃ ដោយទាក់ទាញអ្នកប្រើប្រាស់ឱ្យទាញយកកម្មវិធីព្យាបាទ។ ការផ្សាយពាណិជ្ជកម្មជាច្រើនត្រូវបានកំណត់អត្តសញ្ញាណ ដោយផ្តោតយ៉ាងខ្លាំងទៅលើអ្នកប្រើប្រាស់នៅក្នុងប្រទេសអេស្ប៉ាញ។ យុទ្ធនាការតែមួយ ដែលបានចាប់ផ្តើមនៅថ្ងៃទី 6 ខែមេសា ឆ្នាំ 2026 បានទៅដល់អ្នកប្រើប្រាស់ជិត 191,000 នាក់ ដែលបង្ហាញពីទំហំ និងប្រសិទ្ធភាពនៃយុទ្ធសាស្ត្រចែកចាយនេះ។

បច្ចេកទេសដឹកជញ្ជូន និងគេចវេសដ៏ទំនើប

Mirax ប្រើប្រាស់ដំណើរការឆ្លងមេរោគច្រើនដំណាក់កាលដែលត្រូវបានរចនាឡើងដើម្បីគេចពីការរកឃើញ និងការវិភាគ។ កម្មវិធី Dropper ត្រូវបានចែកចាយតាមរយៈគេហទំព័រដែលអនុវត្តការត្រួតពិនិត្យការចូលប្រើយ៉ាងតឹងរ៉ឹង ដោយធានាថាមានតែអ្នកប្រើប្រាស់ទូរស័ព្ទចល័តប៉ុណ្ណោះដែលអាចបន្តដំណើរការបាន ខណៈពេលកំពុងរារាំងការស្កេនសុវត្ថិភាពដោយស្វ័យប្រវត្តិ។ ឯកសារ APK ដែលមានគំនិតអាក្រក់ត្រូវបានបង្ហោះនៅលើ GitHub ដោយលាយបញ្ចូលគ្នាបន្ថែមទៀតទៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធស្របច្បាប់។

នៅពេលដែលត្រូវបានប្រតិបត្តិ ដំណក់ទឹកនឹងជំរុញឱ្យអ្នកប្រើប្រាស់បើកការដំឡើងពីប្រភពដែលមិនស្គាល់ ដោយចាប់ផ្តើមដំណើរការទាញយកបន្ទុកស្មុគស្មាញដែលត្រូវបានរចនាឡើងដើម្បីរំលង sandboxing និងឧបករណ៍សុវត្ថិភាព។ បន្ទាប់មកមេរោគនេះក្លែងខ្លួនជាកម្មវិធីចាក់វីដេអូឡើងវិញ ហើយស្នើសុំការអនុញ្ញាតសេវាកម្មភាពងាយស្រួល ដោយផ្តល់ឱ្យវានូវការគ្រប់គ្រងយ៉ាងទូលំទូលាយលើប្រតិបត្តិការឧបករណ៍ ខណៈពេលដែលកំពុងដំណើរការដោយស្ងៀមស្ងាត់នៅផ្ទៃខាងក្រោយ។ សារបរាជ័យក្នុងការដំឡើងក្លែងក្លាយត្រូវបានបង្ហាញដើម្បីបំភាន់អ្នកប្រើប្រាស់ ខណៈពេលដែលការត្រួតលើគ្នាដែលមានគំនិតអាក្រក់លាក់បាំងសកម្មភាពដែលកំពុងដំណើរការ។

យុទ្ធនាការនេះបានប្រើប្រាស់អត្តសញ្ញាណកម្មវិធីបោកប្រាស់ជាច្រើន៖

StreamTV (org.lgvvfj.pluscqpuj ឬ org.dawme.secure5ny) – ដំណើរការជាដំណក់ទឹក

ឧបករណ៍​ផលិត​វីដេអូ (org.yjeiwd.plusdc71 ឬ org.azgaw.managergst1d) – ការ​បញ្ជូន​ទិន្នន័យ Mirax

ស្ថាបត្យកម្មបញ្ជា និងត្រួតពិនិត្យ និងបណ្តាញទំនាក់ទំនង

Mirax បង្កើតបណ្តាញទំនាក់ទំនងទ្វេទិសច្រើនជាមួយម៉ាស៊ីនមេ C2 របស់ខ្លួន ដែលអាចឱ្យការអនុវត្តភារកិច្ច និងការលួចយកទិន្នន័យមានប្រសិទ្ធភាព។ ការតភ្ជាប់ WebSocket ដាច់ដោយឡែកត្រូវបានប្រើសម្រាប់គោលបំណងប្រតិបត្តិការផ្សេងៗគ្នា៖

• ច្រក 8443 គ្រប់គ្រងការគ្រប់គ្រងការចូលប្រើពីចម្ងាយ និងការប្រតិបត្តិពាក្យបញ្ជា។
• ច្រក 8444 គាំទ្រការផ្សាយពីចម្ងាយ និងការលួចយកទិន្នន័យ។
• ច្រក 8445 (ឬច្រកផ្ទាល់ខ្លួន) ជួយសម្រួលដល់ប្រតិបត្តិការប្រូកស៊ីលំនៅដ្ឋានដែលមានមូលដ្ឋានលើ SOCKS5។

ស្ថាបត្យកម្មដែលបានបែងចែកនេះជួយបង្កើនភាពជឿជាក់ និងភាពបត់បែននៃប្រតិបត្តិការ ខណៈពេលដែលធ្វើឱ្យកិច្ចខិតខំប្រឹងប្រែងរកឃើញមានភាពស្មុគស្មាញ។

ដំណាក់កាលថ្មីមួយនៅក្នុងប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត

ការរួមបញ្ចូលគ្នារវាង RAT និងសមត្ថភាពប្រូកស៊ីលំនៅដ្ឋានបង្ហាញពីការវិវត្តន៍ដ៏សំខាន់មួយនៅក្នុងការរចនាការគំរាមកំហែងចល័ត។ តាមប្រវត្តិសាស្ត្រ បណ្តាញប្រូកស៊ីត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងឧបករណ៍ IoT ដែលរងការសម្របសម្រួល ឬផ្នែករឹង Android ដែលមានតម្លៃទាបដូចជាទូរទស្សន៍ឆ្លាតវៃ។ Mirax តំណាងឱ្យការផ្លាស់ប្តូរឆ្ពោះទៅរកការបង្កប់សមត្ថភាពទាំងនេះនៅក្នុងមេរោគធនាគារដែលមានមុខងារពេញលេញ ដែលបង្កើនយ៉ាងខ្លាំងទាំងតម្លៃនៃការឆ្លងមេរោគនីមួយៗ និងភាពបត់បែននៃប្រតិបត្តិការរបស់អ្នកវាយប្រហារ។

តាមរយៈការរួមបញ្ចូលគ្នានូវយន្តការក្លែងបន្លំហិរញ្ញវត្ថុជាមួយនឹងហេដ្ឋារចនាសម្ព័ន្ធប្រូកស៊ី Mirax អនុញ្ញាតឱ្យអ្នកគំរាមកំហែងកេងប្រវ័ញ្ចជនរងគ្រោះដោយផ្ទាល់ក្នុងពេលដំណាលគ្នា និងទាញយកអត្ថប្រយោជន៍ពីឧបករណ៍របស់ពួកគេជាទ្រព្យសកម្មនៅក្នុងប្រព័ន្ធអេកូឡូស៊ីឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតកាន់តែទូលំទូលាយ។