មេរោគ SnappyClient
SnappyClient គឺជាមេរោគកម្រិតខ្ពស់ដែលសរសេរជាភាសា C++ និងចែកចាយតាមរយៈកម្មវិធីផ្ទុកទិន្នន័យដែលគេស្គាល់ថា HijackLoader។ វាដំណើរការជា Remote Access Trojan (RAT) ដែលអនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតគ្រប់គ្រងប្រព័ន្ធដែលរងការសម្របសម្រួល និងទាញយកទិន្នន័យរសើប។ នៅពេលដែលនៅខាងក្នុងឧបករណ៍ មេរោគនឹងភ្ជាប់ទៅម៉ាស៊ីនមេ Command-and-Control (C2) ដើម្បីទទួលការណែនាំ និងអនុវត្តប្រតិបត្តិការព្យាបាទ។
តារាងមាតិកា
បច្ចេកទេសគេចវេស និងការរៀបចំប្រព័ន្ធ
ដើម្បីរក្សាភាពមិនឲ្យគេដឹង SnappyClient ជ្រៀតជ្រែកយន្តការសុវត្ថិភាព Windows ដែលភ្ជាប់មកជាមួយ។ យុទ្ធសាស្ត្រសំខាន់មួយពាក់ព័ន្ធនឹងការកែប្រែ Antimalware Scan Interface (AMSI) ដែលទទួលខុសត្រូវក្នុងការស្កេនស្គ្រីប និងកូដសម្រាប់ឥរិយាបថព្យាបាទ។ ជំនួសឲ្យការអនុញ្ញាតឲ្យ AMSI ដាក់សញ្ញាសម្គាល់ការគំរាមកំហែង មេរោគនេះរៀបចំលទ្ធផលរបស់វា ដើម្បីឲ្យសកម្មភាពដែលបង្កគ្រោះថ្នាក់មើលទៅមានសុវត្ថិភាព។
មេរោគក៏ពឹងផ្អែកលើបញ្ជីការកំណត់រចនាសម្ព័ន្ធផ្ទៃក្នុងដែលកំណត់ឥរិយាបថរបស់វា។ ការកំណត់ទាំងនេះកំណត់ថាតើទិន្នន័យអ្វីដែលត្រូវបានប្រមូល កន្លែងដែលវាត្រូវបានរក្សាទុក របៀបដែលការបន្តត្រូវបានរក្សា និងថាតើការប្រតិបត្តិបន្តក្រោមលក្ខខណ្ឌជាក់លាក់ឬអត់។ ការកំណត់រចនាសម្ព័ន្ធនេះធានាថាមេរោគនៅតែសកម្មសូម្បីតែបន្ទាប់ពីប្រព័ន្ធចាប់ផ្តើមឡើងវិញក៏ដោយ។
លើសពីនេះ SnappyClient ទាញយកឯកសារដែលបានអ៊ិនគ្រីបចំនួនពីរពីម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ ឯកសារទាំងនេះត្រូវបានរក្សាទុកក្នុងទម្រង់លាក់កំបាំង ហើយត្រូវបានប្រើដើម្បីគ្រប់គ្រងមុខងាររបស់មេរោគនៅលើប្រព័ន្ធដែលឆ្លងមេរោគ។
សមត្ថភាពគ្រប់គ្រងប្រព័ន្ធយ៉ាងទូលំទូលាយ
SnappyClient ផ្តល់ឱ្យអ្នកវាយប្រហារនូវការគ្រប់គ្រងយ៉ាងស៊ីជម្រៅលើឧបករណ៍ដែលរងការគំរាមកំហែង។ វាអាចចាប់យករូបថតអេក្រង់ ហើយបញ្ជូនវាទៅប្រតិបត្តិករពីចម្ងាយ ដោយផ្តល់នូវការយល់ដឹងដោយផ្ទាល់អំពីសកម្មភាពរបស់អ្នកប្រើប្រាស់។ មេរោគនេះក៏អាចឱ្យគ្រប់គ្រងដំណើរការពេញលេញផងដែរ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារត្រួតពិនិត្យ ផ្អាក បន្ត ឬបញ្ចប់ដំណើរការដែលកំពុងដំណើរការ។ លើសពីនេះ វាគាំទ្រការចាក់កូដចូលទៅក្នុងដំណើរការស្របច្បាប់ ដែលជួយឱ្យវាដំណើរការដោយសម្ងាត់នៅក្នុងប្រព័ន្ធ។
ការរៀបចំប្រព័ន្ធឯកសារគឺជាសមត្ថភាពស្នូលមួយទៀត។ មេរោគអាចរកមើលថតឯកសារ បង្កើត ឬលុបឯកសារ និងថតឯកសារ និងអនុវត្តប្រតិបត្តិការដូចជាការចម្លង ការផ្លាស់ទី ការប្តូរឈ្មោះ ការបង្ហាប់ ឬការស្រង់ចេញបណ្ណសារ សូម្បីតែបណ្ណសារដែលការពារដោយពាក្យសម្ងាត់ក៏ដោយ។ វាក៏អាចប្រតិបត្តិឯកសារ និងវិភាគផ្លូវកាត់ផងដែរ។
មុខងារលួចទិន្នន័យ និងឃ្លាំមើល
គោលបំណងចម្បងរបស់ SnappyClient គឺការលួចចូលទិន្នន័យ។ វារួមបញ្ចូលទាំងកម្មវិធីកត់ត្រាគ្រាប់ចុចដែលភ្ជាប់មកជាមួយ ដែលកត់ត្រាការចុចគ្រាប់ចុច ហើយផ្ញើទិន្នន័យដែលចាប់យកទៅអ្នកវាយប្រហារ។ ក្រៅពីនេះ វាទាញយកព័ត៌មានរសើបជាច្រើនពីកម្មវិធីរុករក និងកម្មវិធីផ្សេងទៀត រួមទាំងព័ត៌មានសម្ងាត់សម្រាប់ចូល ខូគី ប្រវត្តិរុករក ចំណាំ ទិន្នន័យវគ្គ និងព័ត៌មានទាក់ទងនឹងផ្នែកបន្ថែម។
មេរោគនេះក៏អាចស្វែងរក និងលួចឯកសារ ឬថតឯកសារជាក់លាក់ដោយផ្អែកលើតម្រងដែលកំណត់ដោយអ្នកវាយប្រហារដូចជាឈ្មោះឯកសារ ឬផ្លូវជាដើម។ បន្ថែមពីលើការលួចយកឯកសារចេញ វាក៏មានសមត្ថភាពទាញយកឯកសារពីម៉ាស៊ីនមេពីចម្ងាយ និងរក្សាទុកវានៅក្នុងមូលដ្ឋាននៅលើម៉ាស៊ីនដែលឆ្លងមេរោគ។
លក្ខណៈពិសេសនៃការប្រតិបត្តិ និងការកេងប្រវ័ញ្ចកម្រិតខ្ពស់
SnappyClient គាំទ្រវិធីសាស្ត្រច្រើនសម្រាប់ប្រតិបត្តិ payloads ដែលមានគំនិតអាក្រក់។ វាអាចដំណើរការឯកសារដែលអាចប្រតិបត្តិបានស្តង់ដារ ផ្ទុកបណ្ណាល័យតំណភ្ជាប់ថាមវន្ត (DLLs) ឬស្រង់ចេញ និងប្រតិបត្តិខ្លឹមសារពីឯកសារដែលបានរក្សាទុក។ វាក៏អនុញ្ញាតឱ្យអ្នកវាយប្រហារកំណត់ប៉ារ៉ាម៉ែត្រប្រតិបត្តិដូចជាថតការងារ និងអាគុយម៉ង់បន្ទាត់ពាក្យបញ្ជា។ ក្នុងករណីខ្លះ វាព្យាយាមរំលងការគ្រប់គ្រងគណនីអ្នកប្រើប្រាស់ (UAC) ដើម្បីទទួលបានសិទ្ធិខ្ពស់។
លក្ខណៈពិសេសគួរឱ្យកត់សម្គាល់ផ្សេងទៀតរួមមានសមត្ថភាពក្នុងការបើកដំណើរការវគ្គកម្មវិធីរុករកដែលលាក់ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារតាមដាន និងរៀបចំសកម្មភាពគេហទំព័រដោយមិនចាំបាច់ឱ្យអ្នកប្រើប្រាស់ដឹង។ វាក៏ផ្តល់នូវចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជាសម្រាប់ប្រតិបត្តិពាក្យបញ្ជាប្រព័ន្ធពីចម្ងាយផងដែរ។ ការរៀបចំក្ដារតម្បៀតខ្ទាស់គឺជាមុខងារគ្រោះថ្នាក់មួយទៀត ដែលជារឿយៗត្រូវបានប្រើដើម្បីជំនួសអាសយដ្ឋានកាបូបរូបិយប័ណ្ណគ្រីបតូជាមួយនឹងអាសយដ្ឋានដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។
កម្មវិធីគោលដៅ និងប្រភពទិន្នន័យ
SnappyClient ត្រូវបានរចនាឡើងដើម្បីទាញយកព័ត៌មានពីកម្មវិធីជាច្រើនប្រភេទ ជាពិសេសកម្មវិធីរុករកតាមអ៊ីនធឺណិត និងឧបករណ៍រូបិយប័ណ្ណគ្រីបតូ។
កម្មវិធីរុករកបណ្ដាញគោលដៅរួមមាន៖
កម្មវិធីរុករក 360, Brave, Chrome, CocCoc, Edge, Firefox, Opera, Slimjet, Vivaldi និង Waterfox
កាបូប និងឧបករណ៍រូបិយប័ណ្ណគ្រីបតូគោលដៅរួមមាន៖
Coinbase, Metamask, Phantom, TronLink, TrustWallet
Atomic, BitcoinCore, Coinomi, Electrum, Exodus, LedgerLive, TrezorSuite និង Wasabi
ការកំណត់គោលដៅទូលំទូលាយនេះបង្កើនសក្តានុពលនៃការលួចហិរញ្ញវត្ថុ និងការសម្របសម្រួលព័ត៌មានសម្គាល់យ៉ាងខ្លាំង។
វិធីសាស្ត្រចែកចាយបោកប្រាស់
មេរោគ SnappyClient ត្រូវបានរីករាលដាលជាចម្បងតាមរយៈបច្ចេកទេសចែកចាយបោកបញ្ឆោតដែលត្រូវបានរចនាឡើងដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យប្រតិបត្តិឯកសារព្យាបាទ។ វិធីសាស្ត្រទូទៅមួយពាក់ព័ន្ធនឹងគេហទំព័រក្លែងក្លាយដែលក្លែងបន្លំជាក្រុមហ៊ុនទូរគមនាគមន៍ស្របច្បាប់។ នៅពេលដែលចូលមើល គេហទំព័រទាំងនេះទាញយក HijackLoader ដោយស្ងាត់ៗទៅលើឧបករណ៍របស់ជនរងគ្រោះ។ ប្រសិនបើត្រូវបានប្រតិបត្តិ កម្មវិធីផ្ទុកនឹងដាក់ពង្រាយ SnappyClient។
យុទ្ធសាស្ត្រវាយប្រហារមួយទៀតប្រើប្រាស់វេទិកាប្រព័ន្ធផ្សព្វផ្សាយសង្គមដូចជា X (ស្គាល់កាន់តែច្បាស់ថា Twitter)។ អ្នកវាយប្រហារបង្ហោះតំណភ្ជាប់ ឬការណែនាំដែលទាក់ទាញអ្នកប្រើប្រាស់ឱ្យចាប់ផ្តើមការទាញយក ជួនកាលប្រើបច្ចេកទេសដូចជា ClickFix។ សកម្មភាពទាំងនេះនាំទៅរកការប្រតិបត្តិ HijackLoader និងការដំឡើងមេរោគ។
ហានិភ័យ និងផលប៉ះពាល់នៃការឆ្លងមេរោគ
SnappyClient តំណាងឱ្យការគំរាមកំហែងសន្តិសុខតាមអ៊ីនធឺណិតដ៏ធ្ងន់ធ្ងរមួយ ដោយសារតែភាពលាក់បាំង ភាពបត់បែន និងសមត្ថភាពយ៉ាងទូលំទូលាយរបស់វា។ នៅពេលដែលបានដាក់ពង្រាយរួច វាអនុញ្ញាតឱ្យអ្នកវាយប្រហារតាមដានសកម្មភាពរបស់អ្នកប្រើប្រាស់ លួចយកព័ត៌មានរសើប រៀបចំប្រតិបត្តិការប្រព័ន្ធ និងប្រតិបត្តិបន្ទុកមេរោគបន្ថែម។
ផលវិបាកនៃការឆ្លងមេរោគបែបនេះអាចធ្ងន់ធ្ងរ រួមទាំងការលួចគណនី ការលួចអត្តសញ្ញាណ ការខាតបង់ផ្នែកហិរញ្ញវត្ថុ ការឆ្លងមេរោគមេរោគបន្ថែមទៀត និងការសម្របសម្រួលប្រព័ន្ធរយៈពេលវែង។
