SYS01 អ្នកលួច

ដោយ Mezo ក្នុង Malware, Stealers

បកប្រែទៅ៖

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញមេរោគលួចព័ត៌មានថ្មី ដែលកំណត់គោលដៅជាពិសេសទៅលើគណនី Facebook របស់បុគ្គលិកនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗរបស់រដ្ឋាភិបាល។ មេរោគដែលមានឈ្មោះថា Sys01 Stealer កំពុងត្រូវបានចែកចាយតាមរយៈការផ្សាយពាណិជ្ជកម្មរបស់ Google និងគណនី Facebook ក្លែងក្លាយ ដែលផ្សព្វផ្សាយមាតិកាសម្រាប់មនុស្សពេញវ័យ ហ្គេម និងកម្មវិធីដែលត្រូវបានបំបែក។ នៅពេលដែលទាញយករួច មេរោគត្រូវបានប្រតិបត្តិនៅលើកុំព្យូទ័ររបស់ជនរងគ្រោះតាមរយៈ DLL side-loading ដែលជាបច្ចេកទេសដែលអនុញ្ញាតឱ្យមេរោគជៀសវាងការរកឃើញដោយកម្មវិធីសុវត្ថិភាព។ ព័ត៌មានលម្អិតអំពីខ្សែសង្វាក់ឆ្លងមេរោគ និងសមត្ថភាពព្យាបាទនៃការគំរាមកំហែងត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍ដោយអ្នកជំនាញសន្តិសុខ។

បច្ចេកទេសចែកចាយ និងប្រតិបត្តិដែលប្រើដោយ Sys01 Stealer គឺស្រដៀងគ្នាទៅនឹងកម្មវិធីដែលត្រូវបានប្រើប្រាស់ដោយមេរោគមួយផ្សេងទៀតដែលមានឈ្មោះថា ' S1deload Steale r. S1deload Stealer ក៏បានកំណត់គោលដៅគណនី Facebook និង YouTube ដើម្បីប្រមូលទិន្នន័យ។ គ្រោះថ្នាក់ដែលបង្កឡើងដោយប្រភេទមេរោគទាំងនេះគឺមានសារៈសំខាន់ ដោយសារការគំរាមកំហែងត្រូវបានរចនាឡើងជាពិសេសដើម្បីលួចព័ត៌មានរសើប និងអាចរំលងវិធានការសុវត្ថិភាពមួយចំនួន។

តារាងមាតិកា

អ្នកលួច SYS01 កំណត់គោលដៅឧស្សាហកម្មជាច្រើន រួមទាំងវិស័យរដ្ឋាភិបាលផងដែរ។

Sys01 Stealer គឺជាមេរោគដែលបានកំណត់គោលដៅបុគ្គលិកនៅក្នុងឧស្សាហកម្មផ្សេងៗគ្នាចាប់តាំងពីខែវិច្ឆិកា ឆ្នាំ 2022 រួមទាំងអ្នកដែលនៅក្នុងរដ្ឋាភិបាល និងផលិតកម្ម។ គោលបំណងចម្បងរបស់មេរោគគឺដើម្បីដកយកព័ត៌មានរសើប ដូចជាព័ត៌មានសម្ងាត់ចូល ខូគី និងទិន្នន័យគណនីអាជីវកម្ម និងពាណិជ្ជកម្ម Facebook ពីជនរងគ្រោះរបស់វា។

អ្នកវាយប្រហារប្រើយុទ្ធសាស្ត្រផ្សេងៗដើម្បីទាក់ទាញជនរងគ្រោះ រួមទាំងការប្រើប្រាស់ការផ្សាយពាណិជ្ជកម្ម ឬបង្កើតគណនី Facebook ក្លែងក្លាយ។ ការផ្សាយពាណិជ្ជកម្មទាំងនេះ ឬគណនីក្លែងក្លាយមាន URL ដែលនាំទៅដល់បណ្ណសារហ្ស៊ីប ដែលត្រូវបានផ្សាយថាមានភាពយន្ត ហ្គេម ឬកម្មវិធី។

បណ្ណសារហ្ស៊ីបមានផ្ទុកកម្មវិធីមួយ ដែលជាកម្មវិធីស្របច្បាប់ដែលមានភាពងាយរងគ្រោះក្នុងការផ្ទុកចំហៀង DLL និងបណ្ណាល័យដែលមិនមានសុវត្ថិភាពដែលផ្ទុកចំហៀង។ បណ្ណាល័យនេះទម្លាក់កម្មវិធីដំឡើង Inno-Setup ដែលដំឡើងបន្ទុកចុងក្រោយក្នុងទម្រង់ជាកម្មវិធី PHP ។ កម្មវិធីនេះមានស្គ្រីបដែលត្រូវបានគេសម្របសម្រួលដែលត្រូវបានប្រើដើម្បីប្រមូលផលនិងបណ្ដេញទិន្នន័យ។

តួអង្គគំរាមកំហែងបានប្រើភាសាសរសេរកម្មវិធី និងកម្មវិធីអ៊ិនកូដជាច្រើនដើម្បីធ្វើឱ្យ SYS01 Stealer ពិបាករកឃើញ

SYS01 Stealer ប្រើស្គ្រីប PHP ដើម្បីសម្រេចបាននូវភាពស្ថិតស្ថេរដោយកំណត់កិច្ចការដែលបានកំណត់ពេលនៅលើប្រព័ន្ធមេរោគ។ ស្គ្រីបមេ ដែលផ្ទុកនូវមុខងារលួចព័ត៌មាន មានសមត្ថភាពជាច្រើន រួមទាំងសមត្ថភាពក្នុងការពិនិត្យមើលថាតើជនរងគ្រោះមានគណនី Facebook និងត្រូវបានចូល។ ស្គ្រីបក៏អាចទាញយក និងប្រតិបត្តិឯកសារពី URL ដែលបានកំណត់ ផ្ទុកឯកសារទៅ command-and-control server និងប្រតិបត្តិពាក្យបញ្ជា។

យោងតាមការវិភាគ អ្នកលួចព័ត៌មានប្រើប្រាស់ភាសាសរសេរកម្មវិធីជាច្រើន រួមមាន Rust, Python, PHP, និង PHP advanced encoders ដើម្បីជៀសវាងការរកឃើញ។

វាត្រូវបានណែនាំយ៉ាងមុតមាំថា អង្គការនានាគួរតែអនុវត្តគោលការណ៍មិនទុកចិត្ត និងរឹតបន្តឹងសិទ្ធិរបស់អ្នកប្រើប្រាស់ក្នុងការទាញយក និងដំឡើងកម្មវិធី ដើម្បីការពារការឆ្លងមេរោគដោយការគំរាមកំហែងដូចជា Sys01 Stealer ជាដើម។ ដោយសារ Sys01 Stealer ពឹងផ្អែកលើយុទ្ធសាស្ត្រវិស្វកម្មសង្គម អ្នកប្រើប្រាស់ត្រូវតែទទួលបានការអប់រំអំពីបច្ចេកទេសដែលប្រើដោយសត្រូវដើម្បីស្វែងរក និងជៀសវាងពួកគេ។