TamperedChef ចោរលួច

អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការព្យាបាទដែលប្រើការផ្សាយពាណិជ្ជកម្មតាមអ៊ីនធឺណិតបោកប្រាស់ដើម្បីចែកចាយអ្នកលួចព័ត៌មានថ្មីដែលគេស្គាល់ថា TamperedChef ។ ប្រតិបត្តិការនេះពឹងផ្អែកលើការផ្សាយពាណិជ្ជកម្មមិនពិតចំពោះអ្នកប្រើប្រាស់បណ្តាញទៅកាន់គេហទំព័រក្លែងបន្លំ ដែលពួកគេត្រូវបានបញ្ចុះបញ្ចូលឱ្យទាញយកកម្មវិធីកែ PDF trojanized ។

Trojanized PDF Editor ជា Lure

កម្មវិធីក្លែងក្លាយដែលត្រូវបានផ្សព្វផ្សាយជា AppSuite PDF Editor បញ្ឆោតអ្នកប្រើប្រាស់ឱ្យដំឡើងអ្វីដែលមើលទៅដូចជាឧបករណ៍ស្របច្បាប់។ ក្នុងអំឡុងពេលដំឡើងជនរងគ្រោះត្រូវបានបង្ហាញជាមួយនឹងលក្ខខណ្ឌនៃកិច្ចព្រមព្រៀងសេវាកម្មដោយផ្តល់នូវការបំភាន់នៃភាពស្របច្បាប់។ ទោះយ៉ាងណាក៏ដោយ នៅពីក្រោយឆាក កម្មវិធីដំឡើងភ្ជាប់ដោយសម្ងាត់ទៅម៉ាស៊ីនមេពីចម្ងាយ ដើម្បីទម្លាក់កម្មវិធីនិពន្ធ ខណៈពេលដែលផ្លាស់ប្តូរ Windows Registry ក្នុងពេលដំណាលគ្នាដើម្បីបង្កើតភាពស្ថិតស្ថេរ។

កម្មវិធីដំឡើងធានាថាកម្មវិធីចាប់ផ្តើមដោយស្វ័យប្រវត្តិបន្ទាប់ពីការចាប់ផ្តើមឡើងវិញដោយបង្កប់អាគុយម៉ង់បន្ទាត់ពាក្យបញ្ជា (--cm) ទៅក្នុងបញ្ជីឈ្មោះ។ អាគុយម៉ង់ទាំងនេះអាចឱ្យមេរោគទទួលបានការណែនាំសម្រាប់ដំណើរការទម្លាប់ព្យាបាទផ្សេងៗ។

ពេលវេលានៃការវាយប្រហារ

ការស៊ើបអង្កេតបានបង្ហាញថាយុទ្ធនាការនេះបានចាប់ផ្តើមនៅថ្ងៃទី 26 ខែមិថុនា ឆ្នាំ 2025 ស្របពេលជាមួយនឹងការចុះឈ្មោះគេហទំព័រក្លែងក្លាយជាច្រើន និងការចាប់ផ្តើមយុទ្ធនាការផ្សាយពាណិជ្ជកម្មរបស់ Google យ៉ាងហោចណាស់ចំនួនប្រាំដែលលើកកម្ពស់កម្មវិធីនិពន្ធ PDF ។ ដំបូង កម្មវិធីហាក់ដូចជាមិនគំរាមកំហែងទេ ប៉ុន្តែវាត្រូវបានរចនាឡើងដើម្បីពិនិត្យមើលការអាប់ដេតម្តងហើយម្តងទៀតពីម៉ាស៊ីនមេពីចម្ងាយ។

នៅថ្ងៃទី 21 ខែសីហា ឆ្នាំ 2025 ជិតពីរខែក្រោយមក ម៉ាស៊ីនដែលឆ្លងមេរោគបានចាប់ផ្តើមទទួលបានការណែនាំដែលធ្វើឲ្យដំណើរការបន្ទុកដ៏អាក្រក់របស់ TamperedChef ។ វិធីសាស្រ្តជាដំណាក់កាលនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារបង្កើនចំនួនជនរងគ្រោះជាអតិបរមា មុនពេលបើកដំណើរការមេរោគ។

សមត្ថភាពព្យាបាទរបស់ TamperedChef

នៅពេលដែលបានធ្វើឱ្យសកម្ម TamperedChef ធ្វើការឈ្លបយកការណ៍ដោយកំណត់អត្តសញ្ញាណឧបករណ៍សុវត្ថិភាពដែលបានដំឡើង និងបិទកម្មវិធីរុករកតាមអ៊ីនធឺណិតដោយបង្ខំ។ វាផ្តល់ឱ្យវានូវសិទ្ធិចូលប្រើទិន្នន័យរសើបដូចជាព័ត៌មានសម្ងាត់ដែលបានរក្សាទុក និងខូគី។

ការវិភាគបន្ថែមបានបង្ហាញថា កម្មវិធីនិពន្ធដែលមានមេរោគ ក៏មានមុខងារជា backdoor ជាមួយនឹងជម្រើសបន្ទាត់ពាក្យបញ្ជាជាច្រើន។ ទាំងនេះអនុញ្ញាតឱ្យមានការជាប់លាប់ ការសម្អាត ការប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេ command-and-control (C2) និងការរៀបចំទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិត។

មុខងារសំខាន់ៗត្រូវបានកំណត់៖

--install៖ បង្កើតកិច្ចការដែលបានកំណត់ពេល (PDFEditorScheduledTask, PDFEditorUScheduledTask) ដែលដំណើរការជាមួយការអាប់ដេត និងការបម្រុងទុកអាគុយម៉ង់ ដើម្បីចាប់ផ្តើមប្រតិបត្តិការពិនិត្យ និង ping ។

--cleanup៖ ប្រតិបត្តិដោយអ្នកលុបកម្មវិធីដើម្បីលុបសមាសធាតុ backdoor លុបការចុះឈ្មោះម៉ាស៊ីន និងលុបកិច្ចការដែលបានកំណត់ពេលចេញ។

--ping៖ បង្កើតទំនាក់ទំនង C2 ដើម្បីទទួលបានការណែនាំសម្រាប់ការទាញយកមេរោគបន្ថែម ផ្លាស់ប្តូរការចុះបញ្ជី និងការទាញយកទិន្នន័យ។

--check៖ ទាក់ទង C2 សម្រាប់ការអាប់ដេតការកំណត់រចនាសម្ព័ន្ធ លួចព័ត៌មានសម្ងាត់ អានសោកម្មវិធីរុករក និងកែប្រែកម្មវិធីរុករក Chromium, OneLaunch និង Wave។

--reboot: ស្រដៀងទៅនឹង --check ប៉ុន្តែក៏មានសមត្ថភាពក្នុងការបញ្ចប់ដំណើរការជាក់លាក់ផងដែរ។

ការបំពានយុទ្ធសាស្ត្រនៃយុទ្ធនាការផ្សាយពាណិជ្ជកម្ម

ជម្រើសនៃពេលវេលារបស់អ្នកវាយប្រហារគឺគួរឱ្យកត់សម្គាល់។ ការពន្យាពេល 56 ថ្ងៃរវាងការចាប់ផ្តើមយុទ្ធនាការ និងការធ្វើឱ្យសកម្មដែលមានគំនិតអាក្រក់ត្រូវគ្នាយ៉ាងជិតស្និទ្ធជាមួយនឹងអាយុកាល 60 ថ្ងៃធម្មតានៃយុទ្ធនាការផ្សាយពាណិជ្ជកម្មរបស់ Google ។ នេះបង្ហាញថាតួអង្គគំរាមកំហែងដោយចេតនាបានអនុញ្ញាតឱ្យការផ្សាយពាណិជ្ជកម្មដំណើរការវគ្គសិក្សាពេញលេញរបស់ពួកគេ បង្កើនការបង្ហាញ និងការទាញយកមុនពេលបញ្ចេញសមត្ថភាពពេញលេញរបស់ TamperedChef ។