មេរោគ TimbreStealer

ចាប់តាំងពីខែវិច្ឆិកា ឆ្នាំ 2023 មក បុគ្គលក្នុងប្រទេសម៉ិកស៊ិកត្រូវបានទទួលរងនូវគម្រោងបន្លំតាមប្រធានបទពន្ធក្នុងគោលបំណងផ្សព្វផ្សាយមេរោគ Windows ដែលទើបកំណត់អត្តសញ្ញាណថ្មីដែលមានឈ្មោះថា TimbreStealer ។ អ្នកស្រាវជ្រាវដែលបានរកឃើញយុទ្ធនាការនេះកំណត់លក្ខណៈជនល្មើសថាជាអ្នកស្ទាត់ជំនាញ ដោយកត់សម្គាល់ថាអ្នកគំរាមកំហែងទាំងនេះបានប្រើយុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធីស្រដៀងគ្នា (TTPs) នៅក្នុងខែកញ្ញា ឆ្នាំ 2023 ដើម្បីដាក់ពង្រាយ Trojan ធនាគារដែលមានឈ្មោះថា Mispadu ។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងកំណត់គោលដៅអ្នកប្រើប្រាស់នៅក្នុងប្រទេសម៉ិកស៊ិកជាមួយ TimbreStealer

បន្ថែមពីលើការប្រើប្រាស់វិធីសាស្ត្របំភាន់ភ្នែកកម្រិតខ្ពស់ដើម្បីគេចពីការរកឃើញ និងរក្សាភាពជាប់លាប់ យុទ្ធនាការបន្លំរួមបញ្ចូលការដាក់ភូមិសាស្ត្រដើម្បីកំណត់គោលដៅអ្នកប្រើប្រាស់នៅក្នុងប្រទេសម៉ិកស៊ិកជាពិសេស។ នៅពេលដែលគេហទំព័រ payload ត្រូវបានចូលប្រើពីទីតាំងនៅខាងក្រៅប្រទេសម៉ិកស៊ិក យុទ្ធនាការនឹងត្រឡប់ឯកសារ PDF ទទេដែលហាក់ដូចជាគ្មានការបង្កគ្រោះថ្នាក់ ជំនួសឲ្យកម្មវិធីព្យាបាទ។

យុទ្ធសាស្ត្រគេចវេសដែលប្រើគឺគួរអោយកត់សម្គាល់ ដែលពាក់ព័ន្ធនឹងការប្រើប្រាស់ឧបករណ៍ផ្ទុកផ្ទាល់ខ្លួន និងការហៅតាមប្រព័ន្ធដោយផ្ទាល់ដើម្បីរំលងការត្រួតពិនិត្យ API ធម្មតា។ លើសពីនេះ យុទ្ធនាការនេះប្រើប្រាស់ Heaven's Gate ដើម្បីប្រតិបត្តិកូដ 64 ប៊ីតក្នុងដំណើរការ 32 ប៊ីត ដែលជាបច្ចេកទេសថ្មីៗនេះបានអនុម័តដោយ HijackLoader ផងដែរ។

TimbreStealer ត្រូវបានបំពាក់ដោយសំណុំចម្រុះនៃសមត្ថភាពគំរាមកំហែង

មេរោគនេះត្រូវបានបំពាក់ដោយម៉ូឌុលបង្កប់ផ្សេងៗដែលឧទ្ទិសដល់ការរៀបចំ ការឌិគ្រីប និងការពារប្រព័ន្ធគោលពីរសំខាន់ៗ។ ក្នុងពេលដំណាលគ្នានោះ វាធ្វើការត្រួតពិនិត្យជាច្រើនដើម្បីបញ្ជាក់ថាតើវាដំណើរការនៅក្នុងបរិយាកាសប្រអប់ខ្សាច់ ថាតើភាសាប្រព័ន្ធមិនមែនជាភាសារុស្សី និងថាតើតំបន់ពេលវេលាស្ថិតនៅក្នុងតំបន់អាមេរិកឡាទីនដែរឬទេ។

ម៉ូឌុល orchestrator ធ្វើការត្រួតពិនិត្យបន្ថែមដោយស្វែងរកឯកសារ និង Registry keys ដើម្បីបញ្ជាក់ថាម៉ាស៊ីនមិនត្រូវបានឆ្លងពីមុនទេ។ បន្ទាប់ពីនេះ វាចាប់ផ្តើមសមាសភាគកម្មវិធីដំឡើង payload ដោយបង្ហាញអ្នកប្រើប្រាស់ជាមួយនឹងឯកសារ decoy ស្រាល។ ទោះយ៉ាងណាក៏ដោយ នៅពីក្រោយឆាក សកម្មភាពនេះបង្កឱ្យមានការប្រតិបត្តិបន្ទុកចម្បងរបស់ TimbreStealer ។

បន្ទុកចម្បងគឺត្រូវបានរៀបចំឡើងដើម្បីប្រមូលទិន្នន័យដ៏ធំទូលាយមួយ គ្របដណ្តប់ព័ត៌មានអត្តសញ្ញាណពីថតផ្សេងៗ ទិន្នន័យមេតានៃប្រព័ន្ធ និង URLs ដែលបានចូលប្រើ។ វាស្វែងរកយ៉ាងសកម្មនូវឯកសារដែលមានផ្នែកបន្ថែមជាក់លាក់ និងធ្វើឱ្យមានសុពលភាពនៃវត្តមានរបស់កម្មវិធីកុំព្យូទ័រពីចម្ងាយ។

មេរោគ Infostealer អាចនាំឱ្យមានផលប៉ះពាល់យ៉ាងសំខាន់ចំពោះជនរងគ្រោះ

មេរោគ Infostealer បង្កការគំរាមកំហែងយ៉ាងធ្ងន់ធ្ងរដល់ជនរងគ្រោះ ដោយសារវាត្រូវបានរចនាឡើងជាពិសេសដើម្បីជ្រៀតចូលប្រព័ន្ធដោយលាក់បាំង និងបញ្ចេញព័ត៌មានរសើប ដែលនាំឱ្យមានផលប៉ះពាល់យ៉ាងសំខាន់។ នេះគឺជាវិធីមួយចំនួនដែលមេរោគ Infostealer អាចមានឥទ្ធិពលអាក្រក់៖

• ការលួចទិន្នន័យ ៖ គោលបំណងចម្បងនៃមេរោគ Infostealer គឺដើម្បីប្រមូលព័ត៌មានរសើប ដូចជាព័ត៌មានសម្ងាត់នៃការចូល ទិន្នន័យផ្ទាល់ខ្លួន ព័ត៌មានលម្អិតហិរញ្ញវត្ថុ និងកម្មសិទ្ធិបញ្ញា។ នៅពេលដែលព័ត៌មាននេះត្រូវបានសម្របសម្រួល វាអាចត្រូវបានប្រើសម្រាប់សកម្មភាពព្យាបាទផ្សេងៗ រួមទាំងការលួចអត្តសញ្ញាណ ការក្លែងបន្លំហិរញ្ញវត្ថុ ឬការចូលប្រើប្រាស់គណនីដោយគ្មានការអនុញ្ញាត។

• ការបាត់បង់ហិរញ្ញវត្ថុ ៖ មេរោគ Infostealer ជារឿយៗកំណត់គោលដៅព័ត៌មានហិរញ្ញវត្ថុ ដែលអាចនាំឱ្យមានការខាតបង់ហិរញ្ញវត្ថុដោយផ្ទាល់សម្រាប់បុគ្គល និងស្ថាប័ន។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតអាចប្រើប្រាស់ព័ត៌មានសម្ងាត់ធនាគារដែលប្រមូលបាន ដើម្បីចាប់ផ្តើមប្រតិបត្តិការដែលគ្មានអាជ្ញាប័ណ្ណ ឬទទួលបានសិទ្ធិចូលប្រើគណនីហិរញ្ញវត្ថុ។

• ការលុកលុយឯកជនភាព ៖ ការលួចព័ត៌មានផ្ទាល់ខ្លួន និងការសម្ងាត់តាមរយៈមេរោគ Infostealer អាចបណ្តាលឱ្យមានការឈ្លានពានយ៉ាងជ្រាលជ្រៅនៃភាពឯកជន។ ជនរងគ្រោះអាចជួបប្រទះការរំលោភលើទំនុកចិត្ត និងប្រឈមមុខនឹងបញ្ហាក្នុងការស្ដារអត្តសញ្ញាណអនឡាញរបស់ពួកគេ។

• ការរអាក់រអួលអាជីវកម្ម ៖ ក្នុងករណីអង្គការនានា មេរោគ Infostealer អាចនាំឱ្យមានការរំខានដល់អាជីវកម្ម។ ការបាត់បង់ទិន្នន័យធុរកិច្ចរសើប ឬអាថ៌កំបាំងពាណិជ្ជកម្មអាចប៉ះពាល់ដល់ការប្រកួតប្រជែងរបស់ក្រុមហ៊ុន ហើយការចូលប្រើប្រាស់ប្រព័ន្ធសំខាន់ៗដោយមិនមានការអនុញ្ញាតអាចនាំឱ្យមានការផ្អាកប្រតិបត្តិការ។

• ការខូចខាតកេរ្តិ៍ឈ្មោះ ៖ ការលាតត្រដាងនៃព័ត៌មានរសើប ជាពិសេសប្រសិនបើវាពាក់ព័ន្ធនឹងទិន្នន័យរបស់អតិថិជន ឬបុគ្គលិក អាចធ្វើឱ្យខូចកេរ្តិ៍ឈ្មោះរបស់បុគ្គល ឬស្ថាប័នយ៉ាងធ្ងន់ធ្ងរ។ ទំនុកចិត្ត និងភាពជឿជាក់អាចនឹងត្រូវលុបបំបាត់ ហើយវាអាចត្រូវការពេលវេលា និងការខិតខំប្រឹងប្រែងយ៉ាងសំខាន់ក្នុងការកសាងទំនុកចិត្តឡើងវិញ។

• ការសម្របសម្រួលបន្ថែម ៖ មេរោគ Infostealer ជារឿយៗជាផ្នែកមួយនៃការវាយប្រហារតាមអ៊ីនធឺណិតកាន់តែទូលំទូលាយ។ នៅពេលដែលការបំពានដំបូងកើតឡើង អ្នកវាយប្រហារអាចដំឡើងឧបករណ៍ព្យាបាទបន្ថែម បង្កើតការចូលប្រើប្រាស់ជាប់លាប់ និងបន្តទាញយកប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលក្នុងរយៈពេលបន្ថែម។

ដូច្នេះ ជាមូលដ្ឋាន មេរោគ infostealer អាចនាំទៅរកផលវិបាកអវិជ្ជមាន រាប់ចាប់ពីការខាតបង់ផ្នែកហិរញ្ញវត្ថុ និងការឈ្លានពានឯកជនភាព រហូតដល់ការខូចខាតកេរ្តិ៍ឈ្មោះ និងផលប៉ះពាល់ផ្នែកច្បាប់។ បុគ្គល និងអង្គការត្រូវតែប្រើប្រាស់វិធានការសន្តិសុខតាមអ៊ីនធឺណិតដ៏រឹងមាំដើម្បីការពារ បង្ហាញ និងកាត់បន្ថយហានិភ័យដែលទាក់ទងនឹងការគំរាមកំហែង Infostealer ។