យុទ្ធនាការវាយប្រហារអ្នកលួច PXA
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតកំពុងបន្លឺសំឡេងរោទិ៍ជុំវិញការកើនឡើងថ្មីនៃយុទ្ធនាការជំរុញ PXA Stealer ដែលជាមេរោគដែលមានមូលដ្ឋានលើ Python ដែលត្រូវបានរចនាឡើងជាពិសេសដើម្បីប្រមូលទិន្នន័យអ្នកប្រើប្រាស់ដែលងាយរងគ្រោះ។ អ្នកលួចព័ត៌មានដ៏ទំនើបនេះត្រូវបានសន្មតថាជាក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលនិយាយភាសាវៀតណាម ដែលកេងប្រវ័ញ្ចវានៅក្នុងប្រព័ន្ធអេកូឡូស៊ីក្រោមដីដែលផ្អែកលើការជាវ។ អ្វីដែលកំណត់យុទ្ធនាការនេះដាច់ដោយឡែកគឺការរួមបញ្ចូលរបស់វាជាមួយ Telegram APIs ដែលអនុញ្ញាតឱ្យទិន្នន័យលួចត្រូវបានរកប្រាក់បានយ៉ាងឆាប់រហ័ស លក់បន្ត និងប្រើឡើងវិញដោយមានអន្តរាគមន៍តិចតួចបំផុតរបស់មនុស្ស។
តារាងមាតិកា
ការឆ្លងរីករាលដាល និងការលួចទិន្នន័យគួរឱ្យព្រួយបារម្ភ
ការឈានដល់ PXA Stealer គឺទូលំទូលាយ។ អាសយដ្ឋាន IP ពិសេសជាង 4,000 នៅទូទាំង 62 ប្រទេសត្រូវបានសម្របសម្រួល។ តំបន់រងគ្រោះរួមមានសហរដ្ឋអាមេរិក កូរ៉េខាងត្បូង ហូឡង់ ហុងគ្រី និងអូទ្រីស។
មាត្រដ្ឋាននៃទិន្នន័យដែលត្រូវបានលួចគឺសំខាន់:
- ពាក្យសម្ងាត់ពិសេសជាង 200,000
- កំណត់ត្រាប័ណ្ណឥណទានរាប់រយ
- ខូគីកម្មវិធីរុករកច្រើនជាង 4 លាន
ត្រូវបានគេប្រទះឃើញដំបូងនៅក្នុងខែវិច្ឆិកា ឆ្នាំ 2024 យុទ្ធនាការ PXA Stealer ត្រូវបានគេមើលឃើញថាផ្តោតលើស្ថាប័នរដ្ឋាភិបាល និងស្ថាប័នអប់រំនៅអឺរ៉ុប និងអាស៊ី។ ចាប់តាំងពីពេលនោះមក វាបានវិវត្តន៍ដើម្បីទាញយកទិន្នន័យយ៉ាងទូលំទូលាយរួមមាន:
- ពាក្យសម្ងាត់ និងការបំពេញទិន្នន័យដោយស្វ័យប្រវត្តិពីកម្មវិធីរុករក
- លិខិតសម្គាល់កាបូប Cryptocurrency
- ការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនភ្ញៀវ VPN
- ព័ត៌មានពីឧបករណ៍ CLI ពពក និងជម្លោះ
- ការចែករំលែកបណ្តាញដែលបានតភ្ជាប់ និងវេទិកាហិរញ្ញវត្ថុ
Telegram: មជ្ឈមណ្ឌលសរសៃប្រសាទនៃប្រតិបត្តិការ
ទិន្នន័យដែលចម្រាញ់ចេញត្រូវបានបញ្ជូនតាមបណ្តាញ Telegram ដែលវាត្រូវបានរក្សាទុក និងត្រួតពិនិត្យ។ PXA Stealer ប្រើ BotIDs (TOKEN_BOT) ដើម្បីភ្ជាប់ bots ទៅនឹង ChatIDs (CHAT_ID) ដែលត្រូវគ្នារបស់ពួកគេ—បណ្តាញទាំងនេះដើរតួជាឃ្លាំងសម្រាប់ព័ត៌មានលួច និងបម្រើជាមជ្ឈមណ្ឌលទំនាក់ទំនងសម្រាប់ការជូនដំណឹងអំពីអ្នកគំរាមកំហែង។
ទិន្នន័យដែលត្រូវបានគេលួចនេះត្រូវបានបញ្ចូលទៅក្នុងវេទិកាខុសច្បាប់ដូចជា Sherlock ជាទីផ្សារដែលទាក់ទងនឹងកំណត់ហេតុរបស់អ្នកលួច។ នៅទីនេះ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងទៀតអាចទិញទិន្នន័យដើម្បីធ្វើការលួចលាក់ ឬជ្រៀតចូលបណ្តាញសាជីវកម្ម ដោយបញ្ចូលទៅក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់ឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលកំពុងរីកចម្រើនយ៉ាងឆាប់រហ័ស។
កលល្បិចពាណិជ្ជកម្ម និងកលល្បិចកម្រិតខ្ពស់
យុទ្ធនាការថ្មីៗក្នុងឆ្នាំ 2025 បានបង្ហាញពីវឌ្ឍនភាពបច្ចេកទេសគួរឱ្យកត់សម្គាល់។ ឥឡូវនេះ ប្រតិបត្តិករប្រើប្រាស់បច្ចេកទេសផ្ទុកចំហៀងរបស់ DLL និងយុទ្ធសាស្ត្រដំណាក់កាលពហុស្រទាប់ ដើម្បីជៀសវាងការរកឃើញ និងរារាំងការវិភាគកោសល្យវិច្ច័យ។ ការបញ្ឆោតបញ្ឆោតនៅក្នុងសង្វាក់វាយប្រហារពាក់ព័ន្ធនឹងការបង្ហាញឯកសារបញ្ឆោត ដូចជាការជូនដំណឹងអំពីការរំលោភសិទ្ធិអ្នកនិពន្ធក្លែងក្លាយ ខណៈពេលដែលប្រតិបត្តិការព្យាបាទដំណើរការដោយស្ងៀមស្ងាត់ក្នុងផ្ទៃខាងក្រោយ។
ក្នុងចំណោមការអាប់ដេតដ៏សំខាន់បំផុតនៅក្នុងវ៉ារ្យ៉ង់ថ្មីនៃ PXA Stealer គឺសមត្ថភាពរបស់វាក្នុងការទាញយកខូគីដែលបានអ៊ិនគ្រីបពីកម្មវិធីរុករកដែលមានមូលដ្ឋានលើ Chromium ។ វាធ្វើដូចនេះដោយបញ្ចូល DLL ទៅក្នុងដំណើរការសកម្ម ដោយឆ្លងកាត់ការការពារការអ៊ិនគ្រីបកម្រិតកម្មវិធីយ៉ាងមានប្រសិទ្ធភាព។
បច្ចេកទេសសំខាន់ៗនៅពីក្រោយប្រតិបត្តិការ
យុទ្ធនាការនេះបង្ហាញពីយុទ្ធសាស្ត្រកំណត់មួយចំនួន៖
ការការពារប្រឆាំងនឹងការវិភាគ ៖ ត្រូវបានរចនាឡើងដើម្បីពន្យារពេលការរកឃើញ និងធ្វើឱ្យមានការខកចិត្តចំពោះកិច្ចខិតខំប្រឹងប្រែងផ្នែកវិស្វកម្មបញ្ច្រាស។
ការចែកចាយបន្ទុកជាដំណាក់កាល ៖ ខ្សែសង្វាក់ឆ្លងដ៏ស្មុគស្មាញដោយប្រើ DLLs ដែលផ្ទុកដោយចំហៀង។
ខ្លឹមសារបញ្ឆិតបញ្ឆៀង ៖ ឯកសារដែលមិនព្យាបាទប្រើដើម្បីបិទបាំងសកម្មភាពព្យាបាទ។
ហេដ្ឋារចនាសម្ព័ន្ធ C2 ដែលមានមូលដ្ឋានលើ Telegram ៖ បំពង់ទំនាក់ទំនងរឹងដែលប្រើសម្រាប់បញ្ជា ការគ្រប់គ្រង និងការដកទិន្នន័យ។
រូបភាពធំ៖ ទីផ្សារក្រោមដីដែលកំពុងរីកចម្រើន
អ្វីដែលបានចាប់ផ្តើមជាអ្នកលួច Python ឥឡូវនេះបានរីកចម្រើនទៅជាប្រតិបត្តិការអ៊ីនធឺណេតច្រើនដំណាក់កាល។ វាមិនមែនគ្រាន់តែជាមេរោគដែលមានកម្រិតខ្ពស់ប៉ុណ្ណោះទេ ប៉ុន្តែប្រព័ន្ធអេកូឡូស៊ីជុំវិញវា ដូចជាទីផ្សារដែលមានមូលដ្ឋានលើ Telegram បណ្តាញលក់ទិន្នន័យដោយស្វ័យប្រវត្តិ និងបណ្តាញការរកប្រាក់ដែលបានរៀបចំ។
ការវិវឌ្ឍន៍ទាំងនេះបង្ហាញពីរបៀបដែលឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតទំនើបកាន់តែមានភាពរហ័សរហួន ធ្វើមាត្រដ្ឋាន និងទំនាក់ទំនងយ៉ាងស៊ីជម្រៅជាមួយឧបករណ៍ទំនាក់ទំនងដែលបានអ៊ិនគ្រីប។ PXA Stealer ឈរជាឧទាហរណ៍សំខាន់មួយនៃរបៀបដែលតួអង្គគំរាមកំហែងកំពុងសម្របឧបករណ៍និងពាណិជ្ជកម្មរបស់ពួកគេដើម្បីនៅពីមុខការរកឃើញ និងបង្កើនប្រាក់ចំណេញជាអតិបរមាក្នុងសេដ្ឋកិច្ចឧក្រិដ្ឋកម្មអ៊ីនធឺណិតសព្វថ្ងៃ។
