មេរោគ UULoader
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងប្រើប្រាស់មេរោគប្រភេទថ្មីដែលគេស្គាល់ថា UULoader ដើម្បីបញ្ជូនបន្ទុកដែលបង្កគ្រោះថ្នាក់ជាបន្តបន្ទាប់។ យោងតាមអ្នកស្រាវជ្រាវដែលបានកំណត់អត្តសញ្ញាណមេរោគនេះ វាត្រូវបានរីករាលដាលតាមរយៈកម្មវិធីដំឡើងដែលខូចដែលដាក់ជាកម្មវិធីស្របច្បាប់ ដោយផ្តោតជាចម្បងទៅលើអ្នកនិយាយភាសាកូរ៉េ និងចិន។ សូចនាករណែនាំថា UULoader អាចត្រូវបានបង្កើតឡើងដោយអ្នកនិយាយចិន ដោយសារខ្សែអក្សរចិនត្រូវបានរកឃើញនៅក្នុងឯកសារកម្មវិធី (PDB) ដែលបង្កប់ក្នុងឯកសារ DLL ។ មេរោគនេះកំពុងត្រូវបានប្រើប្រាស់ដើម្បីដាក់ពង្រាយការគំរាមកំហែងក្រោយការសម្របសម្រួលដូចជា Gh0st RAT និង Mimikatz ។
សមាសធាតុស្នូលរបស់ UULoader ត្រូវបានខ្ចប់នៅក្នុងប័ណ្ណសារ Microsoft Cabinet (.cab) ដែលមានកម្មវិធីប្រតិបត្តិសំខាន់ៗចំនួនពីរ (មួយ .exe និង .dll) ដែលបានលុបបឋមកថាឯកសាររបស់ពួកគេ។
តារាងមាតិកា
Threat Actors ប្រើប្រាស់ UULoader ដើម្បីចែកចាយ Malware បន្ថែម
មួយក្នុងចំនោមកម្មវិធីដែលអាចប្រតិបត្តិបានគឺជាប្រព័ន្ធគោលពីរស្របច្បាប់ដែលងាយរងគ្រោះទៅនឹងការផ្ទុកចំហៀង DLL ដែលត្រូវបានទាញយកប្រយោជន៍ដើម្បីផ្ទុកឯកសារ DLL ។ DLL នេះនៅទីបំផុតបង្កឱ្យមានដំណាក់កាលចុងក្រោយ៖ ឯកសារមិនច្បាស់មួយដែលមានឈ្មោះថា 'XamlHost.sys' ដែលមានឧបករណ៍ចូលប្រើពីចម្ងាយដូចជា Gh0st RAT ឬឧបករណ៍ប្រមូលព័ត៌មាន Mimikatz ។
ឯកសារដំឡើង MSI ក៏រួមបញ្ចូលផងដែរនូវ Visual Basic Script (.vbs) ដែលបើកដំណើរការដែលអាចប្រតិបត្តិបាន ដូចជា Realtek ហើយនៅក្នុងគំរូ UULoader មួយចំនួន ឯកសារបញ្ឆោតត្រូវបានដំណើរការដើម្បីបង្វែរការយកចិត្តទុកដាក់។ ការបញ្ឆោតនេះជាធម្មតាតម្រឹមជាមួយអ្វីដែលឯកសារ .msi អះអាងថាជា។ ឧទាហរណ៍ ប្រសិនបើអ្នកដំឡើងក្លែងបន្លំជា 'ការអាប់ដេត Chrome' ការបញ្ឆោតនឹងក្លាយជាការអាប់ដេត Chrome ពិតប្រាកដ។
នេះមិនមែនជាលើកទីមួយទេដែលកម្មវិធីដំឡើង Google Chrome ក្លែងក្លាយត្រូវបានប្រើដើម្បីដាក់ពង្រាយ Gh0st RAT ។ កាលពីខែមុន eSentire បានរាយការណ៍ពីខ្សែសង្វាក់វាយប្រហារដែលផ្តោតលើអ្នកប្រើប្រាស់ Windows របស់ចិន ដោយប្រើប្រាស់គេហទំព័រ Google Chrome ក្លែងក្លាយដើម្បីចែកចាយ Trojan ពីចម្ងាយ។
អ្នកក្លែងបន្លំ និងឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត បង្កើនការប្រើប្រាស់ល្បិច Crypto-Themed
ថ្មីៗនេះ តួអង្គគម្រាមកំហែងត្រូវបានគេសង្កេតឃើញបង្កើតគេហទំព័របន្លំដែលមានប្រធានបទរូបិយប័ណ្ណគ្រីបតូរាប់ពាន់ ដែលផ្តោតលើអ្នកប្រើប្រាស់សេវាកម្មកាបូបលុយគ្រីបដ៏ពេញនិយមដូចជា Coinbase, Exodus និង MetaMask ។
តួអង្គមិនល្អទាំងនេះកំពុងប្រើប្រាស់វេទិកាបង្ហោះដោយឥតគិតថ្លៃដូចជា Gitbook និង Webflow ដើម្បីបង្កើតគេហទំព័រទាក់ទាញនៅលើដែនរង typosquatter កាបូប crypto ។ គេហទំព័របោកបញ្ឆោតទាំងនេះទាក់ទាញជនរងគ្រោះជាមួយនឹងព័ត៌មានអំពីកាបូបលុយគ្រីបតូ និងតំណទាញយកដែលនាំទៅដល់ URL ក្លែងបន្លំ។
URLs ទាំងនេះមានមុខងារជាប្រព័ន្ធចែកចាយចរាចរណ៍ (TDS) បញ្ជូនអ្នកប្រើប្រាស់ទៅកាន់ខ្លឹមសារបន្លំ ឬប្រសិនបើឧបករណ៍កំណត់អត្តសញ្ញាណអ្នកទស្សនាជាអ្នកស្រាវជ្រាវសុវត្ថិភាព ទៅកាន់ទំព័រដែលគ្មានគ្រោះថ្នាក់។
លើសពីនេះ យុទ្ធនាការបន្លំក៏កំពុងក្លាយជាស្ថាប័នរដ្ឋាភិបាលស្របច្បាប់នៅក្នុងប្រទេសឥណ្ឌា និងសហរដ្ឋអាមេរិក ដោយបង្វែរអ្នកប្រើប្រាស់ទៅកាន់ដែនក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានរសើប។ ទិន្នន័យដែលបានលួចនេះ អាចត្រូវបានប្រើសម្រាប់ការបោកប្រាស់នាពេលអនាគត អ៊ីមែលបន្លំ ផ្សព្វផ្សាយព័ត៌មានមិនពិត ឬចែកចាយមេរោគ។
AI Buzz ក៏ត្រូវបានកេងប្រវ័ញ្ចនៅក្នុងយុទ្ធនាការបំភាន់ផងដែរ។
យុទ្ធសាស្ត្រវិស្វកម្មសង្គមបានបង្កើនការបង្កើនបញ្ញាសិប្បនិម្មិត (AI) ដើម្បីបង្កើតដែនបំភាន់ដែលធ្វើត្រាប់តាម OpenAI ChatGPT ដែលសម្របសម្រួលសកម្មភាពមិនមានសុវត្ថិភាពជាច្រើនដូចជាការបន្លំ ប្រផេះ មេរោគ ransomware និងប្រតិបត្តិការ Command-and-Control (C2) ។
ចំនួនដ៏សំខាន់នៃដែនទាំងនេះទាញយកប្រជាប្រិយភាពនៃ AI បង្កើតដោយបញ្ចូលពាក្យគន្លឹះដូចជា 'GPT' ឬ 'ChatGPT' ។ គួរកត់សម្គាល់ថាជាងមួយភាគបីនៃចរាចរទៅកាន់ដែនដែលបានចុះឈ្មោះថ្មីទាំងនេះត្រូវបានដឹកនាំទៅកាន់គេហទំព័រគួរឱ្យសង្ស័យ។
