Snake Keylogger វ៉ារ្យ៉ង់
កំណែថ្មីនៃ Snake Keylogger កំពុងកំណត់គោលដៅអ្នកប្រើប្រាស់ Windows យ៉ាងសកម្មនៅទូទាំងប្រទេសចិន តួកគី ឥណ្ឌូនេស៊ី តៃវ៉ាន់ និងអេស្ប៉ាញ។ អ្នកស្រាវជ្រាវបានតាមដានកំណែថ្មីនេះ ហើយភ្ជាប់វាទៅនឹងការប៉ុនប៉ងឆ្លងមេរោគដ៏គួរឱ្យព្រួយបារម្ភចំនួន 280 លានដងនៅទូទាំងពិភពលោកចាប់តាំងពីដើមឆ្នាំមក ដោយបង្ហាញពីឥទ្ធិពលរីករាលដាលរបស់វា។
តារាងមាតិកា
អន្ទាក់បន្លំ៖ របៀបដែល Snake Keylogger រីករាលដាល
វិធីសាស្ត្រចែកចាយចម្បងសម្រាប់ Snake Keylogger នៅតែជាអ៊ីមែលបន្លំដែលបង្កប់ដោយឯកសារភ្ជាប់ ឬតំណភ្ជាប់ដែលគំរាមកំហែង។ មេរោគទទួលបានសិទ្ធិចូលប្រើប្រព័ន្ធរបស់អ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យ នៅពេលដែលពួកគេធ្វើអន្តរកម្មជាមួយអ៊ីមែលបោកប្រាស់ទាំងនេះ។ វាផ្តោតលើការប្រមូលទិន្នន័យរសើបពីកម្មវិធីរុករកបណ្ដាញដែលប្រើយ៉ាងទូលំទូលាយដូចជា Chrome, Edge និង Firefox ។ វាសម្រេចបានដោយការកត់ត្រាការចុចគ្រាប់ចុច ចាប់យកព័ត៌មានសម្ងាត់នៃការចូល និងតាមដានសកម្មភាពក្ដារតម្បៀតខ្ទាស់។
ការចម្រាញ់ទិន្នន័យតាមរយៈបណ្តាញមិនធម្មតា
Snake Keylogger មិនឈប់ក្នុងការប្រមូលព័ត៌មាននោះទេ ពោលគឺវាធានាថាទិន្នន័យដែលត្រូវបានលួចទៅដល់អ្នកវាយប្រហារតាមរយៈបណ្តាញដែលមិនធម្មតា។ ឯកសារបញ្ជាក់អត្តសញ្ញាណដែលត្រូវបានបណ្តេញចេញ និងព័ត៌មានលម្អិតរសើបត្រូវបានបញ្ជូនតាមរយៈពិធីសារផ្ទេរសំបុត្រសាមញ្ញ (SMTP) ឬរូបយន្ត Telegram ។ តាមរយៈការប្រើប្រាស់វិធីសាស្រ្តទាំងនេះ មេរោគរក្សាលំហូរនៃព័ត៌មានលួចទៅម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដោយរំលងវិធានការសុវត្ថិភាពប្រពៃណីមួយចំនួន។
ស្វ័យប្រវត្តិ៖ បច្ចេកទេសគេចវេះដ៏ឆ្លាតវៃ
អ្វីដែលកំណត់រលកនៃការវាយប្រហារចុងក្រោយនេះដាច់ពីគ្នាគឺការប្រើភាសាស្គ្រីប AutoIt ដើម្បីប្រតិបត្តិបន្ទុកចម្បង។ មេរោគនេះត្រូវបានបង្កប់នៅក្នុងប្រព័ន្ធគោលពីរដែលចងក្រងដោយ AutoIt ដែលអនុញ្ញាតឱ្យវាគេចចេញពីយន្តការរាវរកបែបប្រពៃណី។ វិធីសាស្រ្តនេះមិនត្រឹមតែធ្វើឱ្យការវិភាគឋិតិវន្តកាន់តែមានការប្រកួតប្រជែងប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងអនុញ្ញាតឱ្យមានឥរិយាបទថាមវន្តដែលធ្វើត្រាប់តាមឧបករណ៍ស្វ័យប្រវត្តិកម្មស្របច្បាប់យ៉ាងជិតស្និទ្ធ ដោយលាក់បាំងវត្តមានរបស់វា។
ការបង្កើតភាពអត់ធ្មត់លើប្រព័ន្ធសម្របសម្រួល
នៅពេលដែលត្រូវបានប្រតិបត្តិ Snake Keylogger ធានាថាវានៅតែសកម្មនៅលើប្រព័ន្ធមេរោគ។ វាទម្លាក់ច្បាប់ចម្លងដោយខ្លួនឯងជា 'ageless.exe' នៅក្នុងថត '%Local_AppData%\supergroup' ។ ដើម្បីពង្រឹងជំហររបស់វា វាក៏ដាក់ឯកសារ Visual Basic Script (VBS) ដែលមានឈ្មោះថា 'ageless.vbs' នៅក្នុងថត Windows Startup ។ នេះធានាថារាល់ពេលដែលប្រព័ន្ធចាប់ផ្តើមឡើងវិញ មេរោគនឹងចាប់ផ្តើមឡើងវិញដោយស្វ័យប្រវត្តិ ដែលអនុញ្ញាតឱ្យវាបន្ត ទោះបីជាដំណើរការរបស់វាត្រូវបានបញ្ចប់ក៏ដោយ។
ដំណើរការប្រហោង៖ លាក់ខ្លួនក្នុងទិដ្ឋភាពធម្មតា។
ដំណាក់កាលចុងក្រោយនៃការវាយប្រហារពាក់ព័ន្ធនឹងការបញ្ចូលបន្ទុកបឋមទៅក្នុងដំណើរការ .NET ស្របច្បាប់ដូចជា 'regsvcs.exe' ដោយប្រើបច្ចេកទេសដែលគេស្គាល់ថាជាដំណើរការប្រហោង។ តាមរយៈការធ្វើដូច្នេះ Snake Keylogger អាចដំណើរការក្រោមការដឹកនាំនៃដំណើរការដែលអាចទុកចិត្តបាន ដែលធ្វើឱ្យវាកាន់តែពិបាកក្នុងការរកឃើញ។
ការកាប់ឈើចុចគ្រាប់ចុចនិងតាមដានជនរងគ្រោះ
លើសពីការលួចព័ត៌មានសម្ងាត់ Snake Keylogger ក៏តាមដានសកម្មភាពរបស់អ្នកប្រើប្រាស់ដោយការកត់ត្រាការចុចគ្រាប់ចុចផងដែរ។ វាប្រើប្រាស់ SetWindowsHookEx API ជាមួយនឹងទង់ WH_KEYBOARD_LL (ទង់ 13) ដែលជាទំពក់ក្តារចុចកម្រិតទាបដែលត្រូវបានរចនាឡើងដើម្បីចាប់យកការចុចគ្រាប់ចុច។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យវាកត់ត្រាការបញ្ចូលដ៏រសើប រួមទាំងព័ត៌មានលម្អិតអំពីធនាគារ និងពាក្យសម្ងាត់។ លើសពីនេះ មេរោគប្រើសេវាកម្មខាងក្រៅដូចជា checkip.dyndns.org ដើម្បីកំណត់អាសយដ្ឋាន IP និងទីតាំងភូមិសាស្ត្ររបស់ជនរងគ្រោះ ដោយបង្កើនសមត្ថភាពប្រមូលទិន្នន័យរបស់វា។
ការគំរាមកំហែងជាប់លាប់ និងវិវត្តន៍
ការរស់ឡើងវិញនៃ Snake Keylogger គូសបញ្ជាក់អំពីលក្ខណៈវិវត្តនៃការគំរាមកំហែងតាមអ៊ីនធឺណិត។ តាមរយៈការប្រើបច្ចេកទេសថ្មីដូចជាការសរសេរស្គ្រីប AutoIt និងដំណើរការប្រហោង វានៅតែបន្តគេចពីការរកឃើញខណៈពេលដែលកំពុងសម្របសម្រួលប្រព័ន្ធមួយចំនួនធំ។ ការបន្តជូនដំណឹងអំពីវិធីសាស្រ្តរបស់វា និងអនុវត្តការប្រុងប្រយ័ត្ននៅពេលដោះស្រាយអ៊ីមែលនៅតែមានសារៈសំខាន់ក្នុងការកាត់បន្ថយហានិភ័យដែលទាក់ទងនឹងការគំរាមកំហែងជាប់រហូតនេះ។
