មេរោគ Trojan របស់ TCLBANKER

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញមេរោគ Trojan ធនាគារប្រេស៊ីលដែលគ្មានឯកសារពីមុន ដែលគេស្គាល់ថា TCLBANKER ដែលជាមេរោគកម្រិតខ្ពស់ដែលត្រូវបានរចនាឡើងដើម្បីកំណត់គោលដៅវេទិកាធនាគារ ហិរញ្ញវត្ថុបច្ចេកវិទ្យា និងរូបិយប័ណ្ណគ្រីបតូចំនួន 59។ យុទ្ធនាការនេះបច្ចុប្បន្នត្រូវបានតាមដានក្រោមឈ្មោះ REF3076 ហើយត្រូវបានគេជឿថាតំណាងឱ្យការវិវត្តន៍ដ៏សំខាន់នៃគ្រួសារមេរោគ Maverick ដ៏ល្បីល្បាញ ដែលពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងចង្កោមគំរាមកំហែង Water Saci។

TCLBANKER ពង្រីកវិធីសាស្ត្រវាយប្រហារពីមុនៗ ដោយរួមបញ្ចូលយន្តការប្រឆាំងការវិភាគកម្រិតខ្ពស់ ការចែកចាយបន្ទុកដែលផ្តោតលើការលួចលាក់ និងសមត្ថភាពសាយភាយទ្រង់ទ្រាយធំតាមរយៈវេទិកាទំនាក់ទំនងដែលត្រូវបានសម្របសម្រួល។

ខ្សែសង្វាក់ឆ្លងមេរោគលួចលាក់ដែលបង្កើតឡើងសម្រាប់ការគេចវេស

ការវាយប្រហារនេះចាប់ផ្តើមជាមួយនឹងបណ្ណសារ ZIP ព្យាបាទដែលមានកម្មវិធីដំឡើង MSI ដែលរំលោភបំពានកម្មវិធី Logitech ដែលមានហត្ថលេខាស្របច្បាប់មួយហៅថា Logi AI Prompt Builder។ តាមរយៈការផ្ទុក DLL ចំហៀង មេរោគបង្ខំឱ្យកម្មវិធីដែលអ្នកទុកចិត្តផ្ទុកបណ្ណាល័យព្យាបាទមួយឈ្មោះថា 'screen_retriever_plugin.dll' ដែលដើរតួជាកម្មវិធីផ្ទុកចម្បង។

កម្មវិធីផ្ទុកទិន្នន័យនេះរួមបញ្ចូលប្រព័ន្ធរងឃ្លាំមើលយ៉ាងទូលំទូលាយដែលត្រូវបានរចនាឡើងជាពិសេសដើម្បីគេចពីការរកឃើញ។ វាស្កេនជាបន្តបន្ទាប់សម្រាប់បរិស្ថានសុវត្ថិភាព និងការវិភាគ រួមទាំងកម្មវិធីបំបាត់កំហុស ផលិតផលកំចាត់មេរោគ កម្មវិធីរុះរើ ប្រអប់ខ្សាច់ និងឧបករណ៍ឧបករណ៍។ ការអនុវត្តដំណើរការតែនៅពេលដែល DLL ត្រូវបានបើកដំណើរការដោយដំណើរការដែលត្រូវបានអនុម័តដូចជា 'logiaipromptbuilder.exe' ឬ 'tclloader.exe' ដែលក្រោយមកទៀតទំនងជាត្រូវបានភ្ជាប់ទៅនឹងការធ្វើតេស្តផ្ទៃក្នុង។

ដើម្បីជៀសវាងការត្រួតពិនិត្យសុវត្ថិភាពបន្ថែមទៀត មេរោគនឹងលុបទំពក់របៀបអ្នកប្រើប្រាស់ដែលដាក់នៅក្នុង 'ntdll.dll' ដោយដំណោះស្រាយការពារចំណុចបញ្ចប់ ហើយបិទដំណើរការតេឡេម៉ែត្រព្រឹត្តិការណ៍សម្រាប់ការតាមដាន Windows (ETW)។ វាក៏បង្កើតស្នាមម្រាមដៃប្រព័ន្ធច្រើនដោយផ្អែកលើការត្រួតពិនិត្យប្រឆាំងនឹងការបំបាត់កំហុស ការរកឃើញនិម្មិត ព័ត៌មានថាស និងការកំណត់ភាសាប្រព័ន្ធប្រតិបត្តិការ។ ស្នាមម្រាមដៃទាំងនេះបង្កើតហាសបរិស្ថានដែលប្រើដើម្បីឌិគ្រីបបន្ទុកដែលបានបង្កប់។

មេរោគនេះផ្ទៀងផ្ទាត់ជាពិសេសថាតើប្រព័ន្ធគោលដៅប្រើភាសាព័រទុយហ្គាល់ប្រេស៊ីលឬអត់។ ការចង្អុលបង្ហាញណាមួយនៃការបំបាត់កំហុស ឬការវិភាគនឹងបណ្តាលឱ្យមានតម្លៃហាសមិនត្រឹមត្រូវ ដែលរារាំងការឌិគ្រីប payload ដោយជោគជ័យ និងបញ្ឈប់ការប្រតិបត្តិទាំងស្រុង។

សមត្ថភាព Trojan ធនាគារត្រូវបានរចនាឡើងសម្រាប់ការគ្រប់គ្រងប្រព័ន្ធពេញលេញ

នៅពេលដែលការត្រួតពិនិត្យប្រឆាំងការវិភាគត្រូវបានបញ្ចប់ មេរោគ Trojan ធនាគារចម្បងត្រូវបានដាក់ពង្រាយ។ បន្ទាប់ពីបញ្ជាក់ថាប្រព័ន្ធនេះជាកម្មសិទ្ធិរបស់អ្នកប្រើប្រាស់ប្រេស៊ីល មេរោគបង្កើតភាពស្ថិតស្ថេរតាមរយៈភារកិច្ចដែលបានកំណត់ពេល ហើយទាក់ទងម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យខាងក្រៅដោយប្រើសំណើ HTTP POST ដែលមានព័ត៌មានប្រព័ន្ធ។

TCLBANKER រួមបញ្ចូលមុខងារធ្វើបច្ចុប្បន្នភាពដោយខ្លួនឯង និងត្រួតពិនិត្យសកម្មភាពកម្មវិធីរុករកតាមអ៊ីនធឺណិតយ៉ាងសកម្មដោយទាញយក URL ពីរបារអាសយដ្ឋានរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតនៅផ្ទៃខាងមុខតាមរយៈបច្ចេកទេសស្វ័យប្រវត្តិកម្ម UI។ មេរោគនេះកំណត់គោលដៅកម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលប្រើប្រាស់យ៉ាងទូលំទូលាយ រួមមាន៖

• Google Chrome
• ម៉ូហ្សីឡា ហ្វៃហ្វ័ររិច

• ម៉ៃក្រូសូហ្វ អ៊ែដ

• ក្លាហាន

• ល្ខោនអូប៉េរ៉ា

• វីវ៉ាល់ឌី

នៅពេលដែលគេហទំព័រធនាគារ ឬរូបិយប័ណ្ណគ្រីបតូដែលត្រូវបានត្រួតពិនិត្យត្រូវបានរកឃើញ TCLBANKER បើកការតភ្ជាប់ WebSocket ទៅកាន់ម៉ាស៊ីនមេពីចម្ងាយ ហើយចូលទៅក្នុងរង្វិលជុំប្រតិបត្តិពាក្យបញ្ជា។ នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារអនុវត្តសកម្មភាពព្យាបាទជាច្រើនពីចម្ងាយ រួមទាំងការឈ្លបយកការណ៍ប្រព័ន្ធ ការរៀបចំក្ដារតម្បៀតខ្ទាស់ ការកត់ត្រាគ្រាប់ចុច ការថតរូបភាពអេក្រង់ ការផ្សាយអេក្រង់ ការគ្រប់គ្រងកណ្ដុរ និងក្តារចុចពីចម្ងាយ ការគ្រប់គ្រងដំណើរការ និងការដាក់ពង្រាយការត្រួតស៊ីគ្នានៃការប្រមូលផលប័ត្រក្លែងក្លាយ។

វិស្វកម្មសង្គមកម្រិតខ្ពស់ និងការលួចអត្តសញ្ញាណប័ណ្ណ

TCLBANKER ពឹងផ្អែកយ៉ាងខ្លាំងទៅលើវិស្វកម្មសង្គម ដើម្បីលួចព័ត៌មានរសើប។ មេរោគនេះប្រើប្រាស់ក្របខ័ណ្ឌ overlay ពេញអេក្រង់ដែលមានមូលដ្ឋានលើ Windows Presentation Foundation (WPF) ដែលមានសមត្ថភាពបង្ហាញចំណុចប្រទាក់ phishing ដែលគួរឱ្យជឿជាក់ខ្ពស់។ overlays ទាំងនេះធ្វើត្រាប់តាមការណែនាំធនាគារស្របច្បាប់ ការអាប់ដេត Windows ក្លែងក្លាយ របារវឌ្ឍនភាព និងអេក្រង់រង់ចាំ voice-phishing ដែលត្រូវបានរចនាឡើងដើម្បីរៀបចំជនរងគ្រោះឱ្យបង្ហាញព័ត៌មានសម្ងាត់។

ជាពិសេស ការ​ដាក់​ពីលើ​ត្រូវ​បាន​លាក់​ពី​ឧបករណ៍​ថត​អេក្រង់ ដែល​ធ្វើ​ឱ្យ​ការ​រក​ឃើញ និង​ការ​វិភាគ​កោសល្យវិច្ច័យ​មាន​ការ​លំបាក​ជាង​មុន​។

WhatsApp និង Outlook បានក្លាយជាឧបករណ៍ចែកចាយមេរោគ

រួមជាមួយនឹងមេរោគ banking trojan កម្មវិធីផ្ទុកមេរោគនេះដាក់ពង្រាយសមាសធាតុមេរោគដែលទទួលខុសត្រូវចំពោះការរីករាលដាលនៃការឆ្លងមេរោគក្នុងទ្រង់ទ្រាយធំតាមរយៈ WhatsApp Web និង Microsoft Outlook។ ម៉ូឌុល WhatsApp លួចយកវគ្គកម្មវិធីរុករកដែលបានផ្ទៀងផ្ទាត់ ហើយប្រើប្រាស់គម្រោង WPPConnect ប្រភពបើកចំហដើម្បីធ្វើស្វ័យប្រវត្តិកម្មការផ្ញើសារទៅកាន់ទំនាក់ទំនងរបស់ជនរងគ្រោះ។ ដើម្បីបង្កើនប្រសិទ្ធភាពនៃការកំណត់គោលដៅ មេរោគនេះច្រោះចេញនូវការជជែកជាក្រុម បញ្ជីផ្សាយ និងលេខទូរស័ព្ទដែលមិនមែនជាជនជាតិប្រេស៊ីល។

សមាសភាគ Outlook ដំណើរការជា spambot បន្លំ (phishing spambot) ដោយរំលោភលើកម្មវិធី Microsoft Outlook ដែលបានដំឡើងរបស់ជនរងគ្រោះ ដើម្បីចែកចាយអ៊ីមែលព្យាបាទដោយផ្ទាល់ពីអាសយដ្ឋានរបស់ជនរងគ្រោះផ្ទាល់។ ដោយសារតែសារទាំងនេះមានប្រភពមកពីគណនីស្របច្បាប់ និងហេដ្ឋារចនាសម្ព័ន្ធដែលគួរឱ្យទុកចិត្ត តម្រងសារឥតបានការបែបប្រពៃណី និងប្រព័ន្ធសុវត្ថិភាពដែលមានមូលដ្ឋានលើកេរ្តិ៍ឈ្មោះ ពិបាករកឃើញសកម្មភាពព្យាបាទ។

មេរោគនេះត្រូវបានគេរាយការណ៍ថាអាចផ្ញើសារឥតបានការរហូតដល់ 3,000 ទំនាក់ទំនងដោយប្រើវគ្គ WhatsApp និងគណនី Outlook ដែលរងការលួចចូល ដែលបង្កើនវិសាលភាពយុទ្ធនាការយ៉ាងខ្លាំង ខណៈពេលដែលកំពុងកេងប្រវ័ញ្ចទំនាក់ទំនងជឿទុកចិត្តដែលមានស្រាប់រវាងជនរងគ្រោះ និងទំនាក់ទំនងរបស់ពួកគេ។

សញ្ញានៃទេសភាពគំរាមកំហែងដែលកំពុងពង្រីកខ្លួន

ក្រុមអ្នកស្រាវជ្រាវជឿថា REF3076 នៅតែស្ថិតក្នុងដំណាក់កាលប្រតិបត្តិការដំបូងរបស់វា។ ភស្តុតាងដូចជាផ្លូវកត់ត្រាការបំបាត់កំហុស ហេដ្ឋារចនាសម្ព័ន្ធការបន្លំដែលមិនទាន់បានបញ្ចប់ និងឈ្មោះដំណើរការសាកល្បងបង្ហាញថាប្រតិបត្តិករកំពុងបន្តកែលម្អ និងពង្រីកយុទ្ធនាការ។

TCLBANKER ក៏បានគូសបញ្ជាក់ពីការវិវត្តយ៉ាងឆាប់រហ័សដែលកំពុងកើតឡើងនៅក្នុងប្រព័ន្ធអេកូឡូស៊ីមេរោគធនាគារប្រេស៊ីល។ បច្ចេកទេសដែលធ្លាប់តែជាប់ទាក់ទងជាមួយអ្នកគំរាមកំហែងដែលមានភាពស្មុគស្មាញខ្ពស់ឥឡូវនេះកំពុងលេចឡើងនៅក្នុងប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។ សមត្ថភាពទាំងនេះរួមមាន៖

• ការឌិគ្រីប payload ដែលមានមូលដ្ឋានលើបរិស្ថាន
• ការបង្កើត syscall ដោយផ្ទាល់
• វិស្វកម្មសង្គមដែលជំរុញដោយ WebSocket ពេលវេលាជាក់ស្តែង
• ការសាយភាយសារដែលទុកចិត្តតាមរយៈវេទិកាទំនាក់ទំនងដែលត្រូវបានលួចចូល

តាមរយៈការរំលោភបំពានលើវគ្គ WhatsApp និង Outlook ស្របច្បាប់ ក្រុមហ៊ុន TCLBANKER បានរំលងការការពារសុវត្ថិភាពធម្មតាជាច្រើនយ៉ាងមានប្រសិទ្ធភាព។ យុទ្ធនាការនេះបង្ហាញពីរបៀបដែលមេរោគ Trojans ធនាគារសម័យទំនើបកំពុងលាយបញ្ចូលគ្នាកាន់តែខ្លាំងឡើងនូវបច្ចេកទេសលួចលាក់ ស្វ័យប្រវត្តិកម្ម និងវិស្វកម្មសង្គមកម្រិតខ្ពស់ ដើម្បីបង្កើតប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលមានភាពធន់ខ្ពស់ និងអាចធ្វើមាត្រដ្ឋានបាន។