SORVEPOTEL មេរោគ

យុទ្ធនាការមេរោគដែលមានចលនារហ័សមួយដែលមានឈ្មោះថា SORVEPOTEL កំពុងប្រើប្រាស់យ៉ាងសកម្មនូវភាពជឿជាក់របស់មនុស្សដែលមាននៅក្នុង WhatsApp ដើម្បីផ្សព្វផ្សាយខ្លួនវានៅទូទាំងបរិស្ថាន Windows ។ មិនដូចការវាយប្រហារទំនើបៗជាច្រើនដែលបង្កើតឡើងសម្រាប់ការលួចទិន្នន័យ ឬ ransomware យុទ្ធនាការនេះត្រូវបានធ្វើឱ្យប្រសើរសម្រាប់ការរីករាលដាលយ៉ាងឆាប់រហ័ស និងទ្រង់ទ្រាយធំ ដែលធ្វើឱ្យវាមានគ្រោះថ្នាក់ជាពិសេសនៅក្នុងបរិបទសហគ្រាស ដែលផ្ទៃតុដែលត្រូវបានសម្របសម្រួលតែមួយអាចបង្កឱ្យមានការឆ្លងមេរោគជាច្រើនទៀត។

តើ SORVEPOTEL ជាអ្វី?

SORVEPOTEL គឺជាគ្រួសារមេរោគ Windows ដែលផ្សព្វផ្សាយដោយខ្លួនឯង ដែលប្រើប្រាស់វិស្វកម្មសង្គម និងកំណែផ្ទៃតុ/គេហទំព័ររបស់ WhatsApp ដើម្បីចែកចាយឯកសារភ្ជាប់ព្យាបាទទៅកាន់ទំនាក់ទំនង និងក្រុមរបស់ជនរងគ្រោះ។ គោលបំណងចម្បងរបស់វាហាក់ដូចជាការផ្សព្វផ្សាយយ៉ាងឆាប់រហ័ស និងការរំលោភលើគណនី (បណ្តាលឱ្យមានសារឥតបានការ និងការហាមឃាត់គណនី) មិនមែនជាការដកទិន្នន័យភ្លាមៗ ឬការអ៊ិនគ្រីបឯកសារនោះទេ។

របៀបដែលជនរងគ្រោះត្រូវបានល្បួង

អ្នកវាយប្រហារចាប់ផ្តើមពីទំនាក់ទំនង WhatsApp ដែលត្រូវបានសម្របសម្រួល ឬក្នុងករណីខ្លះជាមួយនឹងអ៊ីមែលដែលហាក់ដូចជាស្របច្បាប់។ សារនេះមានឯកសារ ZIP ដែលក្លែងធ្វើជាធាតុដែលគ្មានកំហុស (ឧទាហរណ៍ បង្កាន់ដៃ ឬឯកសារកម្មវិធីសុខភាព)។ ប្រសិនបើអ្នកទទួលបើក ZIP នៅលើផ្ទៃតុ ជំហានខាងក្រោមជាធម្មតាកើតឡើង៖

• ជនរងគ្រោះត្រូវបានបោកបញ្ឆោតឱ្យបើកដំណើរការផ្លូវកាត់វីនដូ (LNK) នៅខាងក្នុងប័ណ្ណសារ។
• LNK ដំណើរការដោយស្ងៀមស្ងាត់នូវពាក្យបញ្ជា PowerShell ដែលទាញយក payload ដំណាក់កាលបន្ទាប់ពីម៉ាស៊ីនខាងក្រៅ (ឧទាហរណ៍ដែលបានកំណត់អត្តសញ្ញាណគឺ sorvetenopoate.com) ។

បន្ទុកដែលបានទាញយកគឺជាស្គ្រីបបាច់ដែលបង្កើតការតស៊ូ និងប្រតិបត្តិពាក្យបញ្ជាបន្ថែមទៀត។

ព័ត៌មានលម្អិតនៃការប្រតិបត្តិ និងយន្តការតស៊ូ

នៅពេលដំឡើងរួច ស្គ្រីបបាច់ចម្លងខ្លួនវាទៅក្នុងថត Windows Startup ដូច្នេះវានឹងដំណើរការដោយស្វ័យប្រវត្តិបន្ទាប់ពីការចាប់ផ្ដើមប្រព័ន្ធ។ វាក៏អំពាវនាវដល់ PowerShell ដើម្បីទាក់ទងម៉ាស៊ីនមេ Command-and-Control (C2) សម្រាប់ការណែនាំបន្ត ឬដើម្បីទាញយកសមាសធាតុបន្ថែម។ ឥរិយាបថទាំងនេះអាចឱ្យមេរោគនៅតែស្នាក់នៅ និងទទួលយកការបញ្ជាពីចម្ងាយពីប្រតិបត្តិករ។

WhatsApp ជាម៉ាស៊ីនផ្សព្វផ្សាយ

មុខងារស្នូលរបស់ SORVEPOTEL គឺជាទម្លាប់នៃការផ្សព្វផ្សាយ WhatsApp-aware របស់វា។ ប្រសិនបើមេរោគរកឃើញថា WhatsApp Web (ម៉ាស៊ីនភ្ញៀវ/គេហទំព័រ) សកម្មនៅលើម៉ាស៊ីនដែលឆ្លងមេរោគ វានឹងធ្វើឱ្យការចែកចាយ ZIP ព្យាបាទដូចគ្នាដោយស្វ័យប្រវត្តិទៅ៖

• ទំនាក់ទំនងទាំងអស់ដែលភ្ជាប់ទៅគណនីដែលត្រូវបានសម្របសម្រួល និង
• ក្រុមទាំងអស់ដែលគណនីជាកម្មសិទ្ធិ។

ការចែកចាយដោយស្វ័យប្រវត្តិនេះបង្កើតបរិមាណសារឥតបានការពីក្រៅប្រទេសយ៉ាងច្រើន ដែលជារឿយៗបង្កឱ្យមានការរកឃើញការរំលោភបំពានរបស់ WhatsApp និងនាំទៅដល់គណនីដែលត្រូវបានផ្អាក ឬហាមឃាត់។

វិសាលភាព​និង​អ្នក​ដែល​ត្រូវ​បាន​គេ​វាយ​

យុទ្ធនាការរហូតមកដល់ពេលនេះត្រូវបានប្រមូលផ្តុំយ៉ាងខ្លាំងនៅក្នុងប្រទេសប្រេស៊ីល៖ 457 នៃ 477 ការឆ្លងដែលបានកត់ត្រាមានប្រភពនៅទីនោះ។ អង្គការគោលដៅមានវិស័យជាច្រើន ជាពិសេស៖

• រដ្ឋាភិបាល និងសេវាសាធារណៈ
• ការផលិត
• បច្ចេកវិទ្យា
• ការអប់រំ
• សំណង់

គួរកត់សំគាល់ថា ប្រតិបត្តិករហាក់ដូចជាមិនបានប្រើការចូលប្រើសម្រាប់ការលួចទិន្នន័យដ៏ធំ ឬដើម្បីដាក់ពង្រាយ ransomware ទេ។ លទ្ធផល​ដែល​អាច​សង្កេត​ឃើញ​បាន​គឺ​ការ​ផ្សព្វផ្សាយ​យ៉ាង​គឃ្លើន និង​ការ​បំពាន​គណនី។

វ៉ិចទ័រចែកចាយបន្ថែមត្រូវបានអង្កេត

ទោះបីជាសារដែលមានមូលដ្ឋានលើ WhatsApp គឺជាផ្លូវផ្សព្វផ្សាយចម្បងក៏ដោយ អ្នកវិភាគបានរកឃើញភស្តុតាងដែលថាអ្នកវាយប្រហារក៏បានចែកចាយឯកសារភ្ជាប់ ZIP ដែលមានគំនិតអាក្រក់ដូចគ្នាតាមរយៈអ៊ីមែល ជួនកាលប្រើអាសយដ្ឋានអ្នកផ្ញើស្របច្បាប់ដើម្បីបង្កើនភាពជឿជាក់។

ហេតុអ្វីបានជាយុទ្ធនាការនេះគួរឱ្យកត់សម្គាល់

SORVEPOTEL បង្ហាញពីនិន្នាការដែលអ្នកវាយប្រហារទាញយកប្រយោជន៍ពីវេទិកាទំនាក់ទំនងសំខាន់ៗ ដើម្បីបង្កើនទំនាក់ទំនងជាមួយនឹងអន្តរកម្មអ្នកប្រើប្រាស់តិចតួចបំផុត។ តាមរយៈការប្រើប្រាស់អាវុធទំនាក់ទំនងដែលអាចទុកចិត្តបាន និងភាពងាយស្រួលនៃ WhatsApp Web មេរោគនេះសម្រេចបាននូវការផ្សព្វផ្សាយនៅពេលក្រោយយ៉ាងឆាប់រហ័សនៅទូទាំងស្ថាប័នដោយមិនចាំបាច់ត្រូវការសមាសធាតុលួចទិន្នន័យដ៏ទំនើប។

កំណត់ចំណាំបិទ

SORVEPOTEL គឺជាការរំលឹកថាវេទិកាសង្គមគឺជាបណ្តាញផ្សព្វផ្សាយដ៏ទាក់ទាញសម្រាប់មេរោគ។ ការរកឃើញយ៉ាងឆាប់រហ័ស ការអប់រំអ្នកប្រើប្រាស់ និងការគ្រប់គ្រងដែលកំណត់ការប្រតិបត្តិស្គ្រីប និងត្រួតពិនិត្យអតិថិជនផ្ញើសារនៅលើកុំព្យូទ័រលើតុនឹងកាត់បន្ថយយ៉ាងខ្លាំងនូវផ្ទៃនៃការវាយប្រហារដែលយុទ្ធនាការនេះកេងប្រវ័ញ្ច។