Ov3r_Stealer Malware

តួអង្គគំរាមកំហែងកំពុងកេងប្រវ័ញ្ចការផ្សាយពាណិជ្ជកម្មក្លែងក្លាយនៅលើ Facebook ដើម្បីបញ្ឆោតជនរងគ្រោះដែលមានសក្តានុពលក្នុងការដំឡើងមេរោគថ្មីដែលមានមូលដ្ឋានលើ Windows ដែលគេស្គាល់ថា Ov3r_Stealer ។ កម្មវិធីគម្រាមកំហែងនេះត្រូវបានបង្កើតឡើងជាពិសេសដើម្បីលួចលាក់ព័ត៌មានសម្ងាត់ និងកាបូបលុយគ្រីបតូ ដោយបញ្ជូនទិន្នន័យដែលប្រមូលបានទៅកាន់ប៉ុស្តិ៍ Telegram ដែលត្រួតពិនិត្យដោយអ្នកគំរាមកំហែង។

Ov3r_Stealer បង្ហាញសមត្ថភាពជាច្រើន រួមទាំងការទាញយកទីតាំងផ្អែកលើអាសយដ្ឋាន IP ព័ត៌មានផ្នែករឹង ពាក្យសម្ងាត់ ខូគី ព័ត៌មានលម្អិតកាតឥណទាន ទិន្នន័យបំពេញដោយស្វ័យប្រវត្តិ ផ្នែកបន្ថែមកម្មវិធីរុករកតាមអ៊ីនធឺណិត កាបូបលុយគ្រីប ឯកសារ Microsoft Office និងបញ្ជីសុវត្ថិភាពដែលបានដំឡើង។ ផលិតផលនៅលើម៉ាស៊ីនសម្របសម្រួល។

ទោះបីជាគោលបំណងចុងក្រោយនៃយុទ្ធនាការនេះនៅតែមិនច្បាស់លាស់ក៏ដោយ ប៉ុន្តែព័ត៌មានដែលទទួលបានគឺប្រហែលជាត្រូវបានផ្តល់ជូនសម្រាប់លក់ទៅឱ្យតួអង្គគំរាមកំហែងផ្សេងទៀត។ ជាជម្រើស Ov3r_Stealer អាចនឹងទទួលការអាប់ដេតតាមពេលវេលា ដែលអាចបំប្លែងទៅជាកម្មវិធីផ្ទុកទិន្នន័យស្រដៀងទៅនឹង QakBot ដោយសម្រួលដល់ការដាក់ពង្រាយបន្ទុកបន្ថែម ដូចជា ransomware ជាដើម។

ខ្សែសង្វាក់វាយប្រហារដាក់ពង្រាយ Ov3r_Stealer Malware

ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងឯកសារ PDF ដែលមានអាវុធ ដោយបង្ហាញខ្លួនឯងថាជាឯកសារដែលរក្សាទុកនៅលើ OneDrive ។ វាលើកទឹកចិត្តឱ្យអ្នកប្រើប្រាស់ចុចប៊ូតុង 'ចូលប្រើឯកសារ' ដែលបានបង្កប់នៅខាងក្នុង។ អ្នកស្រាវជ្រាវបានចង្អុលបង្ហាញពីការចែកចាយឯកសារ PDF នេះតាមរយៈគណនី Facebook បោកបញ្ឆោតដែលដាក់ឈ្មោះថា Andy Jassy នាយកប្រតិបត្តិក្រុមហ៊ុន Amazon និងក្លែងបន្លំការផ្សាយពាណិជ្ជកម្មលើមុខតំណែងផ្សាយពាណិជ្ជកម្មឌីជីថល។

នៅពេលចុចប៊ូតុង អ្នកប្រើប្រាស់ទទួលបានឯកសារផ្លូវកាត់អ៊ីនធឺណិត (.URL) ដែលក្លែងបន្លំជាឯកសារ DocuSign ដែលបង្ហោះនៅលើបណ្តាញចែកចាយមាតិការបស់ Discord (CDN)។ ឯកសារផ្លូវកាត់នេះបម្រើជាផ្លូវមួយដើម្បីបញ្ជូនធាតុផ្ទាំងបញ្ជា (.CPL) ឯកសារដែលបន្ទាប់មកត្រូវបានប្រតិបត្តិដោយប្រើប្រព័ន្ធគោលពីរដំណើរការផ្ទាំងបញ្ជាវីនដូ ('control.exe') ។

ការប្រតិបត្តិឯកសារ CPL ចាប់ផ្តើមការទាញយកកម្មវិធីផ្ទុក PowerShell ('DATA1.txt') ពីឃ្លាំង GitHub ដែលទីបំផុតនាំទៅដល់ការបើកដំណើរការ Ov3r_Stealer ។

ភាពស្រដៀងគ្នារវាង Ov3r_Stealer និងការគំរាមកំហែងមេរោគផ្សេងទៀត។

អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតគូសបញ្ជាក់ថា តួអង្គគំរាមកំហែងបានប្រើប្រាស់ខ្សែសង្វាក់ឆ្លងមេរោគស្រដៀងគ្នា ដើម្បីដាក់ពង្រាយអ្នកលួចមួយផ្សេងទៀតដែលគេស្គាល់ថាជា Phemedrone Stealer ដោយទាញយកភាពងាយរងគ្រោះរបស់ Microsoft Windows Defender SmartScreen ឆ្លងកាត់ (CVE-2023-36025, ពិន្ទុ CVSS: 8.8) ។ ភាពស្រដៀងគ្នានេះបានពង្រីកបន្ថែមទៀតជាមួយនឹងការប្រើប្រាស់ឃ្លាំង GitHub (nateeintanan2527) និងវត្តមាននៃភាពស្រដៀងគ្នាកម្រិតកូដរវាង Ov3r_Stealer និង Phemedrone ។ វាអាចយល់បានថា Phemedrone បានឆ្លងកាត់ការបង្កើតឡើងវិញ និងដាក់ស្លាកយីហោឡើងវិញជា Ov3r_Stealer ជាមួយនឹងភាពខុសគ្នាចម្បងគឺ Phemedrone ត្រូវបានសរសេរកូដនៅក្នុង C# ។

ដើម្បីពង្រឹងទំនាក់ទំនងរវាងមេរោគលួចចម្លងទាំងពីរ តួអង្គគំរាមកំហែងត្រូវបានគេសង្កេតឃើញចែករំលែករបាយការណ៍ព័ត៌មានអំពី Phemedrone Stealer នៅលើបណ្តាញ Telegram របស់ពួកគេ ដើម្បីបង្កើន 'ជំនឿលើផ្លូវ' នៃអាជីវកម្ម malware-as-a-service (MaaS) របស់ពួកគេ។

សារមួយក្នុងចំនោមសារដែលគេសង្កេតឃើញមានសរសេរថា 'អ្នកលួចផ្ទាល់ខ្លួនរបស់ខ្ញុំកំពុងបង្កើតចំណងជើង ដោយបង្ហាញពីការគេចវេសរបស់វា។ ខ្ញុំជាអ្នកអភិវឌ្ឍន៍នៅពីក្រោយវា រំភើបណាស់ឥឡូវនេះ។' អ្នកគម្រាមកំហែងបង្ហាញការខកចិត្តចំពោះការពិតដែលថា ទោះបីជាមានការខិតខំប្រឹងប្រែងរបស់ពួកគេដើម្បីរក្សាអ្វីៗគ្រប់យ៉ាងនៅក្នុងការចងចាំក៏ដោយ ក៏អ្នកប្រមាញ់ការគំរាមកំហែងបានគ្រប់គ្រងដើម្បី 'បញ្ច្រាសខ្សែសង្វាក់កេងប្រវ័ញ្ចទាំងមូល' ។

តើអ្នកអាចជៀសវាងការវាយប្រហារដោយ Phishing ដែលផ្តល់ការគំរាមកំហែងពី Malware យ៉ាងដូចម្តេច?

ការជៀសវាងការវាយប្រហារដោយបន្លំដែលផ្តល់នូវការគំរាមកំហែងពីមេរោគតម្រូវឱ្យមានការរួមបញ្ចូលគ្នានៃការប្រុងប្រយ័ត្ន ការយល់ដឹង និងការទទួលយកការអនុវត្តល្អបំផុតសម្រាប់សុវត្ថិភាពអនឡាញ។ នេះគឺជាជំហានសំខាន់ៗមួយចំនួនដែលអ្នកប្រើប្រាស់អាចអនុវត្តដើម្បីការពារខ្លួនពីការធ្លាក់ខ្លួនជាជនរងគ្រោះទៅនឹងការវាយប្រហារដោយបន្លំ៖

• សង្ស័យអ៊ីមែលដែលមិនបានស្នើសុំ ៖ ជៀសវាងការបើកអ៊ីមែលពីអ្នកផ្ញើដែលមិនស្គាល់។
• សូមប្រយ័ត្ន ទោះបីអ៊ីមែលលេចចេញមកពីប្រភពដែលគេស្គាល់ក៏ដោយ។ ផ្ទៀងផ្ទាត់អាសយដ្ឋានអ៊ីមែលរបស់អ្នកផ្ញើ ប្រសិនបើមានការសង្ស័យ។
• ផ្ទៀងផ្ទាត់ URLs និងតំណភ្ជាប់ ៖ ដាក់លើតំណអ៊ីមែលដើម្បីមើល URL ជាមុនមុនពេលចុច។
• ផ្ទៀងផ្ទាត់ភាពស្របច្បាប់របស់គេហទំព័រដោយប្រៀបធៀប URL នៅក្នុងអ៊ីមែលទៅអាសយដ្ឋានគេហទំព័រផ្លូវការ។
• ពិនិត្យខ្លឹមសារអ៊ីមែលសម្រាប់ទង់ក្រហម ៖ រកមើលកំហុសអក្ខរាវិរុទ្ធ និងវេយ្យាករណ៍ ដែលអាចបង្ហាញពីការប៉ុនប៉ងបន្លំ។ ប្រយ័ត្នចំពោះភាសាបន្ទាន់ ឬគំរាមកំហែងដែលដាក់សម្ពាធឱ្យអ្នកចាត់វិធានការភ្លាមៗ។
• ធ្វើបច្ចុប្បន្នភាព និងប្រើប្រាស់កម្មវិធីសុវត្ថិភាព ៖ រក្សាប្រព័ន្ធប្រតិបត្តិការរបស់អ្នក កម្មវិធីប្រឆាំងមេរោគ និងកម្មវិធីបច្ចុប្បន្ន។ ប្រើកម្មវិធីសុវត្ថិភាពល្បីឈ្មោះដើម្បីផ្តល់ការការពារក្នុងពេលជាក់ស្តែងប្រឆាំងនឹងមេរោគ។
• រៀបចំខ្លួនអ្នក និងទទួលព័ត៌មាន ៖ ទទួលបានព័ត៌មានអំពីយុទ្ធសាស្ត្របន្លំចុងក្រោយបំផុត និងការគំរាមកំហែងពីមេរោគ។ អប់រំខ្លួនអ្នកអំពីសូចនាករបន្លំទូទៅ ដូចជាការស្វាគមន៍ទូទៅ និងការស្នើសុំព័ត៌មានរសើប។
• ប្រយ័ត្នជាមួយឯកសារភ្ជាប់ ៖ ជៀសវាងការបើកឯកសារភ្ជាប់ពីប្រភពមិនស្គាល់ ឬមិនបានរំពឹងទុក។ បញ្ជាក់ពីភាពស្របច្បាប់របស់អ្នកផ្ញើ មុនពេលទាញយក ឬបើកឯកសារភ្ជាប់។
• ឃ្លាំមើលយុទ្ធសាស្ត្រវិស្វកម្មសង្គម ៖ ប្រយ័ត្នចំពោះសំណើសម្រាប់ព័ត៌មានរសើប ជាពិសេសពាក្យសម្ងាត់ ឬព័ត៌មានលម្អិតហិរញ្ញវត្ថុ។ ផ្ទៀងផ្ទាត់អត្តសញ្ញាណបុគ្គល ឬស្ថាប័នដែលធ្វើការស្នើសុំមិនធម្មតាតាមរយៈប៉ុស្តិ៍ដែលគួរឱ្យទុកចិត្ត។

តាមរយៈការបញ្ចូលការអនុវត្តទាំងនេះទៅក្នុងឥរិយាបថអនឡាញរបស់អ្នក អ្នកអាចកាត់បន្ថយហានិភ័យនៃការធ្លាក់ខ្លួនជាជនរងគ្រោះនៃការវាយប្រហារដោយបន្លំដែលផ្តល់នូវការគំរាមកំហែងពីមេរោគយ៉ាងខ្លាំង។ ការរក្សាការប្រុងប្រយ័ត្ន និងបន្តធ្វើបច្ចុប្បន្នភាពចំណេះដឹងរបស់អ្នកលើការអនុវត្តល្អបំផុតអំពីសុវត្ថិភាពតាមអ៊ីនធឺណិត គឺជារឿងសំខាន់នៅក្នុងទិដ្ឋភាពនៃការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលមិនធ្លាប់មាន។