សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង ធនាគារ Trojan Water Saci Banking Trojan

Water Saci Banking Trojan

ដោយ Mezo ក្នុង ធនាគារ Trojan, ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT), ម៉ាលវែរចល័ត
បកប្រែទៅ៖

ប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតនៅតែបន្តវិវឌ្ឍ ហើយតួអង្គគម្រាមកំហែងប្រេស៊ីល Water Saci បានបង្ហាញពីភាពរីកចម្រើនគួរឱ្យកត់សម្គាល់នៅក្នុងភាពទំនើប។ យុទ្ធនាការថ្មីៗប្រើប្រាស់ខ្សែសង្វាក់ឆ្លងពហុស្រទាប់ដោយប្រើឯកសារ HTA, PDFs និង WhatsApp ដើម្បីផ្សព្វផ្សាយ trojan ធនាគារ ដោយកំណត់គោលដៅអ្នកប្រើប្រាស់ប្រេស៊ីលជាមួយនឹងប្រសិទ្ធភាពដែលមិនធ្លាប់មានពីមុនមក។

ខ្សែសង្វាក់វាយប្រហារពហុទ្រង់ទ្រាយ៖ ពី PowerShell ទៅ Python

រលកចុងក្រោយនេះបង្ហាញពីការផ្លាស់ប្តូរដ៏សំខាន់នៅក្នុងយុទ្ធសាស្ត្ររបស់ Water Saci ។ ពីមុនពឹងផ្អែកលើ PowerShell តួអង្គគំរាមកំហែងឥឡូវនេះប្រើវ៉ារ្យ៉ង់ដែលមានមូលដ្ឋានលើ Python ដែលរីករាលដាលមេរោគក្នុងទម្រង់ដូចដង្កូវតាមរយៈ WhatsApp Web ។

ធាតុសំខាន់ៗនៃខ្សែសង្វាក់វាយប្រហារដែលប្រសើរឡើងនេះរួមមាន:

PDF Lures ៖ ជនរងគ្រោះទទួលបានឯកសារ PDF ដោយណែនាំពួកគេឱ្យធ្វើបច្ចុប្បន្នភាព Adobe Reader ដោយចុចលើតំណភ្ជាប់ដែលមានគំនិតអាក្រក់។

HTA Files ៖ នៅពេលប្រតិបត្តិ ឯកសារទាំងនេះដំណើរការ Visual Basic Scripts ដែលបើកដំណើរការពាក្យបញ្ជា PowerShell ដើម្បីទៅយក payloads រួមទាំងកម្មវិធីដំឡើង MSI សម្រាប់ Trojan និង Python script ដែលទទួលខុសត្រូវចំពោះការផ្សព្វផ្សាយ WhatsApp ។

វិធីសាស្រ្តពហុទម្រង់នេះបង្ហាញពីរបៀបដែល Water Saci បានដាក់យន្តការវាយប្រហាររបស់វា ដែលទំនងជាប្រើ AI ឬឧបករណ៍ស្វ័យប្រវត្តិដើម្បីបកប្រែស្គ្រីបពី PowerShell ទៅ Python ។ នេះបង្កើនភាពឆបគ្នា ល្បឿន ភាពធន់ និងរក្សាបាននូវការចែកចាយមេរោគ។

កម្មវិធីដំឡើង MSI & AutoIt-Based Trojan Loader

កម្មវិធីដំឡើង MSI បម្រើជាយន្តការចែកចាយសម្រាប់ trojan ធនាគារ។ ស្គ្រីប AutoIt របស់វាអនុវត្តមុខងារសំខាន់ៗជាច្រើន៖

  • ធានាថា​មាន​តែ​ឧទាហរណ៍​មួយ​នៃ​ Trojan កំពុង​ដំណើរការ​ដោយ​ពិនិត្យ​មើល​ឯកសារ​សម្គាល់ (executed.dat) និង​ជូនដំណឹង​ដល់​ម៉ាស៊ីនមេ​ដែល​គ្រប់គ្រង​ដោយ​អ្នក​វាយប្រហារ។
  • ផ្ទៀងផ្ទាត់ការកំណត់ភាសាប្រព័ន្ធ (ព័រទុយហ្គាល់-ប្រេស៊ីល) មុនពេលស្កេនរកឯកសារ និងកម្មវិធីដែលទាក់ទងនឹងធនាគារ រួមមាន Bradesco, Warsaw, Topaz OFD, Sicoob និង Itaú។
  • ស្វែងរកប្រវត្តិ Google Chrome សម្រាប់ការចូលទៅកាន់ធនាគារធំៗរបស់ប្រទេសប្រេស៊ីល៖ Santander, Banco do Brasil, Caixa Econômica Federal, Sicredi និង Bradesco។

កម្មវិធីផ្ទុកទិន្នន័យប្រើប្រាស់ដំណើរការប្រហោង និងការផ្ទុក PE កម្រិតមធ្យមតាមរយៈឯកសារ TDA/DMP ដើម្បីចាក់បញ្ចូល Trojan ទៅក្នុងអង្គចងចាំ សម្រេចបាននូវភាពលាក់កំបាំង និងការតស៊ូ។ ប្រសិនបើដំណើរការ trojan ត្រូវបានបញ្ចប់ វានឹងចាក់ឡើងវិញដោយស្វ័យប្រវត្តិ នៅពេលដែលជនរងគ្រោះចូលទៅកាន់គេហទំព័រធនាគារ។

មុខងារ Trojan៖ ការឈ្លបយកការណ៍ឈ្លានពាន និងការលួចព័ត៌មានសម្ងាត់

Trojan របស់ Water Saci បង្ហាញសមត្ថភាពកម្រិតខ្ពស់សម្រាប់ការត្រួតពិនិត្យ ការគ្រប់គ្រង និងការលួចទិន្នន័យ រួមទាំង៖

  • ការត្រួតពិនិត្យចំណងជើងបង្អួច ដើម្បីស្វែងរកវេទិកាធនាគារ ឬរូបិយប័ណ្ណគ្រីបតូ។
  • បង្ខំឱ្យបិទកម្មវិធីរុករកតាមអ៊ីនធឺណិត ដើម្បីបើកគេហទំព័រឡើងវិញក្រោមការគ្រប់គ្រងរបស់អ្នកវាយប្រហារ។
  • ម៉ាស៊ីន និងប្រព័ន្ធឈ្លបយកការណ៍តាមរយៈសំណួរ WMI ។
  • ការកែប្រែបញ្ជីឈ្មោះសម្រាប់ការបន្ត។
  • ការទំនាក់ទំនង C2 សម្រាប់ការបញ្ជាពីចម្ងាយ។
  • ប្រតិបត្តិការដែលបានគាំទ្ររួមមាន:
  • ការបញ្ជូនព័ត៌មានប្រព័ន្ធ
  • ការថតអេក្រង់ និងក្តារចុច
  • ការក្លែងធ្វើសកម្មភាពកណ្តុរ
  • ប្រតិបត្តិការឯកសារ (ផ្ទុកឡើង/ទាញយក)
  • ការរាប់បញ្ចូលតាមបង្អួច
  • បង្កើតការត្រួតលើធនាគារក្លែងក្លាយ

មុខងារនេះឆ្លុះបញ្ជាំងអំពីធនាគារដែលផ្តោតលើ LATAM ដូចជា Casbaneiro ដែលឆ្លុះបញ្ចាំងពីភាពបន្តនៃរចនាសម្ព័ន្ធ និងអាកប្បកិរិយា ខណៈពេលដែលប្រើប្រាស់យន្តការដឹកជញ្ជូនកម្រិតខ្ពស់បន្ថែមទៀត។

ការផ្សព្វផ្សាយ WhatsApp ផ្អែកលើ Python

ការច្នៃប្រឌិតគួរឱ្យកត់សម្គាល់នៅក្នុងយុទ្ធនាការនេះគឺស្គ្រីប Python ដែលផ្សព្វផ្សាយមេរោគតាមរយៈ WhatsApp Web ដោយប្រើឧបករណ៍ស្វ័យប្រវត្តិកម្មកម្មវិធីរុករក Selenium ។ ភ័ស្តុតាងបង្ហាញថា Water Saci ប្រហែលជាបានប្រើប្រាស់គំរូភាសាធំៗ ឬឧបករណ៍បកប្រែកូដដើម្បីបញ្ជូនតក្កវិជ្ជាផ្សព្វផ្សាយ PowerShell ដើមទៅ Python ។ លទ្ធផលនៃកុងសូល ថែមទាំងរួមបញ្ចូល emojis ផងដែរ ដោយបញ្ជាក់ពីភាពទំនើបនៃស្គ្រីបថ្មី។

តាមរយៈការទាញយកការជឿទុកចិត្ត និងការឈានដល់របស់ WhatsApp Water Saci អាចផ្សព្វផ្សាយមេរោគដោយខ្លួនឯងក្នុងកម្រិតមួយ ដោយឆ្លងកាត់ការការពារបែបប្រពៃណី និងសម្របសម្រួលជនរងគ្រោះយ៉ាងឆាប់រហ័ស។

សេចក្តីសន្និដ្ឋាន៖ យុគសម័យថ្មីនៃការគំរាមកំហែងតាមអ៊ីនធឺណិតផ្អែកលើការផ្ញើសារ

យុទ្ធនាការ Water Saci គូសបញ្ជាក់ពីនិន្នាការដែលកំពុងកើនឡើង៖ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ប្រើអាវុធស្របច្បាប់ដូចជា WhatsApp ដើម្បីដាក់ពង្រាយមេរោគស្មុគស្មាញ។ ដោយការរួមបញ្ចូលផ្នែកវិស្វកម្មសង្គម ការអភិវឌ្ឍន៍ស្គ្រីបដែលជំនួយដោយ AI និងការចែកចាយមេរោគច្រើនដំណាក់កាល តួអង្គគំរាមកំហែងអាចរក្សាការឆ្លងមេរោគ Trojan ធនាគារជាប់លាប់ ខណៈពេលដែលគេចចេញពីការគ្រប់គ្រងសុវត្ថិភាពធម្មតា។

ករណីនេះគូសបញ្ជាក់ពីតម្រូវការសម្រាប់ការប្រុងប្រយ័ត្នខ្ពស់ ការការពារចំណុចបញ្ចប់ដ៏រឹងមាំ និងការយល់ដឹងរបស់អ្នកប្រើប្រាស់ ជាពិសេសនៅក្នុងតំបន់ដូចជាប្រទេសប្រេស៊ីល ដែលវេទិកាផ្ញើសារដើរតួនាទីសំខាន់ក្នុងការទំនាក់ទំនងប្រចាំថ្ងៃ។

និន្នាការ

Lionmerks.com

គេហទំព័រក្លែងក្លាយ, Adware, ចោរប្លន់កម្មវិធីរុករក
ការរក្សាការប្រុងប្រយ័ត្នខណៈពេលដែលរុករកអ៊ីនធឺណិតគឺចាំបាច់ ជាពិសេសដោយសារតែគេហទំព័របោកប្រាស់បន្តវិវត្តនៅក្នុងការខិតខំប្រឹងប្រែងរបស់ពួកគេដើម្បីរៀបចំអ្នកប្រើប្រាស់។...

Trustedspotsearch.com

គេហទំព័រក្លែងក្លាយ, Adware, កម្មវិធីដែលមិនចង់បានសក្តានុពល
ការការពារប្រព័ន្ធរបស់អ្នកពីកម្មវិធីដែលរំខាន និងមិនគួរឱ្យទុកចិត្ត គឺចាំបាច់សម្រាប់រក្សាបទពិសោធន៍រុករកដែលមានសុវត្ថិភាព និងអាចទុកចិត្តបាន។ PUPs (កម្មវិធីដែលមិនចង់បានដែលអាចកើតមាន)...

Cosollic.com

គេហទំព័រក្លែងក្លាយ, Adware, ចោរប្លន់កម្មវិធីរុករក
ការរក្សាការប្រុងប្រយ័ត្នខណៈពេលដែលការរុករកគឺជារឿងចាំបាច់ ព្រោះថាគេហទំព័រជាច្រើនសព្វថ្ងៃនេះព្យាយាមបំភាន់អ្នកប្រើប្រាស់ដោយប្រើល្បិចបោកបញ្ឆោតដែលបង្ហាញឱ្យពួកគេប្រឈមនឹងហានិភ័យសុវត្ថិភាព និងឯកជនភាព។...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
30,648
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
23,495
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...
កំពុង​ផ្ទុក...