មេរោគ OXLOADER
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការមេរោគថ្មីមួយ ដែលមានឈ្មោះថា REF8372 ដែលប្រើប្រាស់កម្មវិធីផ្ទុកមេរោគដែលគ្មានឯកសារពីមុន ដែលគេស្គាល់ថា OXLOADER ដើម្បីដាក់ពង្រាយមេរោគលួចព័ត៌មាន CastleStealer។
ប្រតិបត្តិការនេះចាប់ផ្តើមជាមួយនឹងការផ្សាយពាណិជ្ជកម្ម Google ដែលមានគំនិតអាក្រក់ ដែលត្រូវបានរចនាឡើងដើម្បីទាក់ទាញជនរងគ្រោះដែលកំពុងស្វែងរកកម្មវិធីពេញនិយម។ ការវិភាគបង្ហាញថា អ្នកគំរាមកំហែងនៅពីក្រោយយុទ្ធនាការនេះទំនងជាអ្នកនិយាយភាសារុស្ស៊ី និងមានហេតុផលផ្នែកហិរញ្ញវត្ថុ។ ការវាយតម្លៃនេះគឺផ្អែកលើការដកចេញដោយចេតនារបស់មេរោគលើប្រព័ន្ធដែលមានទីតាំងនៅក្នុង Commonwealth of Independent States (CIS) ដែលជាយុទ្ធសាស្ត្រដែលត្រូវបានប្រើជាញឹកញាប់ដោយក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលកំពុងប្រតិបត្តិការនៅក្នុងតំបន់។
ទោះបីជាការផ្សាយពាណិជ្ជកម្មរបស់យុទ្ធនាការនេះត្រូវបានបោះពុម្ពផ្សាយក្រោមឈ្មោះដែលបានផ្ទៀងផ្ទាត់ 'ВОЛОДИМИР ТЕРЕЩЕНКО' ដែលត្រូវបានគេចោទប្រកាន់ថាមានមូលដ្ឋាននៅប្រទេសអ៊ុយក្រែនក៏ដោយ ក៏វានៅតែមិនច្បាស់ថាតើអត្តសញ្ញាណនេះជារបស់ប្រតិបត្តិករខ្លួនឯង ឬតំណាងឱ្យគណនីដែលរងការសម្របសម្រួល ទិញ ឬប្រឌិតនោះទេ។ Google បានលុបគណនីអ្នកផ្សាយពាណិជ្ជកម្ម និងយុទ្ធនាការពាក់ព័ន្ធនៅថ្ងៃទី 14 ខែឧសភា ឆ្នាំ 2026។
តារាងមាតិកា
ការរៀបចំម៉ាស៊ីនស្វែងរកនាំជនរងគ្រោះទៅកាន់គេហទំព័រកម្មវិធីក្លែងក្លាយ
ខ្សែសង្វាក់នៃការឆ្លងមេរោគត្រូវបានបង្កឡើងនៅពេលដែលអ្នកប្រើប្រាស់ស្វែងរកពាក្យដូចជា 'lts version of node.js' តាមរយៈម៉ាស៊ីនស្វែងរកដូចជា Google។ ជនរងគ្រោះត្រូវបានបញ្ជូនបន្តតាមរយៈលទ្ធផលឧបត្ថម្ភទៅកាន់គេហទំព័រក្លែងក្លាយ node-js.prentiva99.info ដោយក្លែងបន្លំជាធនធានកម្មវិធីស្របច្បាប់។
អ្នកប្រើប្រាស់ដែលធ្វើអន្តរកម្មជាមួយគេហទំព័រក្លែងបន្លំត្រូវបានជំរុញឱ្យទាញយកស្គ្រីបជាបាច់ដែលបង្ហោះនៅលើ Storj ដែលជាវេទិកាផ្ទុកទិន្នន័យលើ cloud ដែលមិនមានវិមជ្ឈការ និងជាប្រភពបើកចំហ។ ការរំលោភបំពានសេវាកម្មស្របច្បាប់ដូចជា Storj បង្ហាញពីនិន្នាការកើនឡើងក្នុងចំណោមអ្នកគំរាមកំហែង ដែលពឹងផ្អែកកាន់តែខ្លាំងឡើងលើវេទិកាដែលគួរឱ្យទុកចិត្តដើម្បីរំលងកេរ្តិ៍ឈ្មោះដែន និងយន្តការច្រោះសុវត្ថិភាព។
ខ្សែសង្វាក់នៃការឆ្លងមេរោគច្រើនដំណាក់កាលលាក់បាំងសកម្មភាពព្យាបាទ
ការប្រតិបត្តិឯកសារបាច់ដែលបានទាញយកបង្ហាញអ្នកជំនួយការដំឡើងក្លែងក្លាយ ដែលបង្កើតការបំភាន់នៃការដំឡើងកម្មវិធីស្របច្បាប់ ខណៈពេលកំពុងទាញយក payload ដំណាក់កាលបន្ទាប់ដោយសម្ងាត់គឺ OXLOADER ពី Storj។ មេរោគនេះត្រូវបានទាញយកតាមរយៈពាក្យបញ្ជា PowerShell ហើយបើកដំណើរការជាមួយប៉ារ៉ាម៉ែត្រ -Verb RunAs ដោយបង្កើតប្រអប់បញ្ចូល Windows User Account Control (UAC)។
ការវាយប្រហារនេះប្រើប្រាស់បច្ចេកទេសផ្ទុក DLL ចំហៀងដើម្បីប្រតិបត្តិបណ្ណាល័យតំណភ្ជាប់ថាមវន្តដែលមានគំនិតអាក្រក់ ដែលឌិគ្រីប និងបើកដំណើរការ payload ចុងក្រោយគឺ CastleStealer។
បច្ចេកទេសគេចវេសកម្រិតខ្ពស់បង្កើនបញ្ហាប្រឈមនៃការរកឃើញ
OXLOADER រួមបញ្ចូលបច្ចេកទេសទំនើបៗជាច្រើនដែលត្រូវបានរចនាឡើងជាពិសេសដើម្បីរារាំងការវិភាគ និងគេចវេះការរកឃើញ៖
- ស្រទាប់បិទបាំងច្រើន រួមទាំងការធ្វើឱ្យរាបស្មើនៃលំហូរត្រួតពិនិត្យ បុព្វបទស្រអាប់ និងបច្ចេកទេសប៊ូលីន-អារីទីមិចចម្រុះ។
សមត្ថភាពទាំងនេះបង្ហាញពីវិធីសាស្រ្តដោយចេតនា និងត្រូវបានរចនាឡើងយ៉ាងល្អ ដើម្បីជៀសវាងយន្តការរកឃើញទាំងឋិតិវន្ត និងថាមវន្ត។
វត្តមានកាន់តែកើនឡើងរបស់ CastleStealer ក្នុងប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត
CastleStealer គឺជាក្រុមគ្រួសារមេរោគលួចព័ត៌មានដែលមានមូលដ្ឋានលើ .NET ដែលទើបតែលេចឡើងក្នុងយុទ្ធនាការបន្ថែម។ ពីមុនវាត្រូវបានចែកចាយរួមជាមួយ CastleLoader តាមរយៈល្បិចវិស្វកម្មសង្គមបែប ClickFix ដែលបានបង្ហាញខ្លួនជាកម្មវិធីកែរូបភាពឥតគិតថ្លៃនៅក្នុងប្រតិបត្តិការដែលគេស្គាល់ថាជា BackgroundFix។ CastleLoader ត្រូវបានភ្ជាប់ទៅនឹងចង្កោមសកម្មភាពគំរាមកំហែងដែលត្រូវបានតាមដានថាជា GrayBravo។
ការគំរាមកំហែងដំណាក់កាលដំបូងដែលមានសក្តានុពលគួរឱ្យកត់សម្គាល់
ទោះបីជា OXLOADER ហាក់ដូចជាស្ថិតនៅក្នុងដំណាក់កាលដំបូងនៃការដាក់ពង្រាយប្រតិបត្តិការក៏ដោយ ភាពទំនើបខាងបច្ចេកទេសរបស់វាទាមទារការយកចិត្តទុកដាក់យ៉ាងដិតដល់ពីអ្នកការពារ។ លក្ខណៈមួយចំនួនបង្ហាញពីការវិនិយោគយ៉ាងច្រើនដោយអ្នកអភិវឌ្ឍន៍របស់វា៖
- ការបិទបាំងកូដយ៉ាងទូលំទូលាយ និងការការពារប្រឆាំងនឹងម៉ាស៊ីននិម្មិត។
- ការប្រើប្រាស់កូដដែលមើលទៅមិនបង្កគ្រោះថ្នាក់ ដើម្បីក្លែងបន្លំប្រព័ន្ធគោលពីរដែលមានគំនិតអាក្រក់ និងបច្ចេកទេសរៀបចំ payload តែមួយគត់។
ជម្រើសការរចនាទាំងនេះបានបង្ហាញឱ្យឃើញពីប្រសិទ្ធភាពរួចហើយ ដែលអនុញ្ញាតឱ្យ OXLOADER សម្រេចបានអត្រារកឃើញទាបនៅទូទាំងម៉ាស៊ីនស្កេនឋិតិវន្ត និងបរិស្ថានបំផ្ទុះដោយស្វ័យប្រវត្តិ។ ជាលទ្ធផល មេរោគបច្ចុប្បន្នទទួលបានអត្ថប្រយោជន៍ពីបង្អួចប្រតិបត្តិការដ៏មានតម្លៃមុនពេលហត្ថលេខារកឃើញ និងវិធានការទប់ទល់យ៉ាងទូលំទូលាយត្រូវបានបង្កើតឡើង។