មេរោគ SapphireStealer
ក្រុមជាច្រើនប្រើប្រាស់មេរោគដែលប្រមូលព័ត៌មានប្រភពបើកចំហដែលហៅថា SapphireStealer ដែលបង្កើតឡើងនៅលើក្របខ័ណ្ឌ .NET ដើម្បីពង្រឹងសមត្ថភាពរបស់ពួកគេ និងបង្កើតកំណែតាមតម្រូវការ។ អ្នកជំនាញផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតបង្ហាញឱ្យឃើញថា មេរោគដែលប្រមូលព័ត៌មានដូចជា SapphireStealer ត្រូវបានជួលឱ្យទទួលបានទិន្នន័យសំខាន់ៗ រួមទាំងព័ត៌មានសម្ងាត់នៃការចូលសាជីវកម្មផងដែរ។ លិខិតសម្គាល់ដែលមិនបានទទួលទាំងនេះជាញឹកញាប់ត្រូវបានលក់ទៅឱ្យតួអង្គមិនល្អផ្សេងទៀតដែលកេងប្រវ័ញ្ចពួកគេដើម្បីចាប់ផ្តើមការវាយប្រហារបន្ថែមទៀត ចាប់ពីចារកម្មរហូតដល់ ransomware និងប្រតិបត្តិការជំរិតទារប្រាក់។
មេរោគប្រភេទនេះមិនត្រឹមតែបង្ហាញពីភាពជឿនលឿននៃគំរូ cybercrime-as-a-service (CaaS) ប៉ុណ្ណោះទេ ប៉ុន្តែវាក៏ផ្តល់ឱកាសសម្រាប់តួអង្គពាក់ព័ន្ធនឹងការក្លែងបន្លំផ្សេងទៀត ដើម្បីទទួលបានផលចំណេញពីទិន្នន័យដែលលួចបន្លំ ដោយជួយសម្រួលដល់ការចែកចាយ ransomware អនុវត្តការលួចទិន្នន័យ និងការចូលរួម។ នៅក្នុងសកម្មភាពតាមអ៊ីនធឺណែតដ៏អាក្រក់ផ្សេងៗ។
SapphireStealer ចាប់យកព័ត៌មានរសើបផ្សេងៗពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល
SapphireStealer ដែលជាមេរោគប្រមូលព័ត៌មានដែលមានមូលដ្ឋានលើ .NET មានសំណុំលក្ខណៈពិសេសដ៏សាមញ្ញ ប៉ុន្តែមានប្រសិទ្ធភាពដែលត្រូវបានរចនាឡើងសម្រាប់ការទាញយកទិន្នន័យរសើបចេញពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ សមត្ថភាពរបស់វារួមមាន:
-
- ការប្រមូលព័ត៌មានម្ចាស់ផ្ទះ។
-
- ការចាប់យករូបថតអេក្រង់។
-
- កំពុងប្រមូលព័ត៌មានសម្ងាត់កម្មវិធីរុករកតាមអ៊ីនធឺណិត។
-
- ការកំណត់អត្តសញ្ញាណ និងកំណត់គោលដៅឯកសារជាក់លាក់នៅលើប្រព័ន្ធមេរោគដោយផ្អែកលើផ្នែកបន្ថែមឯកសារដែលបានកំណត់ជាមុន។
នៅពេលដំណើរការដំបូង មេរោគនឹងធ្វើការត្រួតពិនិត្យដើម្បីកំណត់វត្តមាននៃដំណើរការកម្មវិធីរុករកតាមអ៊ីនធឺណិតសកម្មណាមួយនៅលើប្រព័ន្ធ។ វាស្កេនបញ្ជីនៃដំណើរការដែលកំពុងដំណើរការបច្ចុប្បន្នសម្រាប់ការផ្គូផ្គងជាមួយឈ្មោះដំណើរការដូចខាងក្រោម៖ chrome, yandex, msedge និង Opera ។ ប្រសិនបើដំណើរការដែលត្រូវគ្នាត្រូវបានរកឃើញ មេរោគប្រើវិធីសាស្ត្រ Process.Kill() ដើម្បីបញ្ចប់ពួកវា។
លើសពីនេះ មេរោគនេះប្រើប្រាស់នូវបញ្ជីផ្លូវឯកសារដែលមានកូដរឹង ដើម្បីរកមើលអត្ថិភាពនៃមូលដ្ឋានទិន្នន័យព័ត៌មានសម្ងាត់ដែលភ្ជាប់ជាមួយនឹងកម្មវិធីរុករកតាមអ៊ីនធឺណិតប្រហែល 15 ផ្សេងៗគ្នា រួមទាំង Chrome, Opera, Yandex, Brave Browser, Microsoft Edge, Atom Browsers និងច្រើនទៀត។
ជាបន្តបន្ទាប់ SapphireStealer ព្យាយាមចាប់យករូបថតអេក្រង់ពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ដោយរក្សាទុកវានៅក្នុងថតការងារដូចគ្នាក្រោមឈ្មោះឯកសារ 'Screenshot.png'។ ដើម្បីពង្រីកកិច្ចខិតខំប្រឹងប្រែងប្រមូលទិន្នន័យរបស់វា មេរោគនេះបង្កឡើងនូវសមាសធាតុចាប់យកឯកសារ គោលបំណងដើម្បីកំណត់ទីតាំងឯកសារនៅក្នុងថត Desktop របស់ជនរងគ្រោះដែលត្រូវគ្នានឹងបញ្ជីផ្នែកបន្ថែមឯកសារដែលបានកំណត់ជាមុន។
ជាចុងក្រោយ ទិន្នន័យដែលលួចចម្លងត្រូវបានបញ្ជូនទៅកាន់អ្នកវាយប្រហារតាមរយៈ Simple Mail Transfer Protocol (SMTP) ជាមួយនឹងព័ត៌មានសម្ងាត់ដែលត្រូវការត្រូវបានបញ្ជាក់នៅក្នុងកូដដែលទទួលខុសត្រូវក្នុងការសរសេរ និងផ្ញើសារ។
វ៉ារ្យ៉ង់ SapphireStealer កំពុងត្រូវបានបង្កើតយ៉ាងសកម្មដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត
SapphireStealer ស្រដៀងទៅនឹងមេរោគដែលប្រមូលទិន្នន័យជាច្រើនផ្សេងទៀត ដែលបានក្លាយជាការរីករាលដាលកាន់តែខ្លាំងឡើងនៅលើ Dark Web ។ ទោះជាយ៉ាងណាក៏ដោយ អ្វីដែលធ្វើឱ្យដាច់ពីគ្នានោះគឺថាកូដប្រភពរបស់វាត្រូវបានចេញផ្សាយដោយបើកចំហរដោយឥតគិតថ្លៃនៅចុងខែធ្នូ ឆ្នាំ 2022។ វាបានផ្ដល់សិទ្ធិអំណាចដល់តួអង្គពាក់ព័ន្ធនឹងការក្លែងបន្លំដើម្បីធ្វើការពិសោធន៍ជាមួយមេរោគ ដែលធ្វើឱ្យវាកាន់តែពិបាកក្នុងការស្វែងរក។ ជាលទ្ធផល ពួកគេបានណែនាំវិធីសាស្ត្របន្សុទ្ធទិន្នន័យដែលអាចសម្របខ្លួនបាន ដូចជាការប្រើប្រាស់ Discord webhook ឬ Telegram API ជាដើម។
បំរែបំរួលជាច្រើននៃការគម្រាមកំហែងនេះបានលេចចេញជារូបរាងរួចមកហើយ ដោយអ្នកគំរាមកំហែងបន្តកែលម្អប្រសិទ្ធភាព និងប្រសិទ្ធភាពរបស់ពួកគេតាមពេលវេលា។
លើសពីនេះ អ្នកនិពន្ធមេរោគបានផ្សព្វផ្សាយជាសាធារណៈនូវកម្មវិធីទាញយកមេរោគ .NET ដែលមានឈ្មោះកូដ FUD-Loader ដែលអនុញ្ញាតឱ្យទាញយកបន្ទុកប្រព័ន្ធគោលពីរបន្ថែមពីម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ កម្មវិធីទាញយកនេះត្រូវបានគេសង្កេតឃើញរួចហើយនៅក្នុងសកម្មភាព ដោយផ្តល់នូវការគំរាមកំហែងពីចម្ងាយ Trojan (RAT) ដូចជា DCRat, njRAT , DarkComet និង ភ្នាក់ងារ Tesla ។
