យុទ្ធនាការមេរោគ WhatsApp

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងប្រើប្រាស់សារផ្ទាល់របស់ WhatsApp ដើម្បីចែកចាយឯកសារ Visual Basic Script (VBScript) ដែលមានគំនិតអាក្រក់ ដែលនៅទីបំផុតដំឡើងកម្មវិធី Remote Monitoring and Management (RMM) ស្របច្បាប់នៅលើប្រព័ន្ធដែលរងការគំរាមកំហែង។ យុទ្ធនាការនេះបានកំណត់គោលដៅអ្នកប្រើប្រាស់ WhatsApp Desktop និង WhatsApp Web នៅក្នុងប្រទេសជាច្រើន រួមមានប្រទេសម៉ាឡេស៊ី ប្រេស៊ីល ឥណ្ឌា ម៉ិកស៊ិក សិង្ហបុរី ចក្រភពអង់គ្លេស អេស្ប៉ាញ តៃវ៉ាន់ អូស្ត្រាលី រុស្ស៊ី និងវៀតណាម។ ប្រទេសម៉ាឡេស៊ីបានកត់ត្រាចំនួនអ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់ច្រើនជាងគេ។

ក្រុមអ្នកស្រាវជ្រាវសង្ស័យថា អ្នកវាយប្រហារទទួលបានសិទ្ធិចូលប្រើគណនី WhatsApp ជាច្រើនដោយគ្មានការអនុញ្ញាត ហើយបន្ទាប់មកបានទាញយកអត្ថប្រយោជន៍ពីទម្រង់ដែលរងការលួចចូលទាំងនេះ ដើម្បីផ្ញើឯកសារព្យាបាទទៅកាន់មនុស្សនៅក្នុងបញ្ជីទំនាក់ទំនងរបស់ពួកគេ។ ទោះជាយ៉ាងណាក៏ដោយ វិធីសាស្ត្រពិតប្រាកដដែលប្រើដើម្បីលួចគណនីទាំងនេះនៅមិនទាន់ដឹងនៅឡើយទេ។

ក្លែងបន្លំជាឯកសារអាជីវកម្ម

អ្នកវាយប្រហារពឹងផ្អែកលើវិស្វកម្មសង្គមដើម្បីបញ្ចុះបញ្ចូលជនរងគ្រោះឱ្យបើកឯកសារព្យាបាទ។ ឯកសារភ្ជាប់ VBScript ត្រូវបានក្លែងបន្លំជាឯកសារអាជីវកម្ម និងហិរញ្ញវត្ថុស្របច្បាប់ ហើយប្រើឈ្មោះឯកសារដែលគួរឱ្យជឿជាក់ដូចជា 'Financial Reports.vbs' និង 'Account Statement.vbs'។ ដើម្បីគាំទ្រដល់ការឈានដល់អន្តរជាតិរបស់យុទ្ធនាការនេះ ឯកសារមួយចំនួនក៏លេចឡើងជាភាសាផងដែរ រួមមានភាសាព័រទុយហ្គាល់ បារាំង អាល្លឺម៉ង់ និងម៉ាឡេ។

ស្គ្រីបទាំងនេះត្រូវបានបិទបាំងយ៉ាងខ្លាំង ហើយមានមតិយោបល់ និងទិន្នន័យមេតាយ៉ាងទូលំទូលាយ ដែលត្រូវបានរចនាឡើងដើម្បីធ្វើត្រាប់តាមសមាសធាតុ Microsoft Windows Update ពិតប្រាកដ។ មតិយោបល់ជាច្រើនត្រូវបានសរសេរជាភាសាចិន និងមុខងារយោងដូចជា៖

• ម៉ូឌុលធ្វើបច្ចុប្បន្នភាពវីនដូ
• នីតិវិធីផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ
• ការត្រួតពិនិត្យសុចរិតភាពប្រព័ន្ធ
• ដំណើរការទាក់ទងនឹងការដាក់ពង្រាយ

ធាតុផ្សំទាំងនេះមានបំណងធ្វើឱ្យឯកសារមើលទៅស្របច្បាប់ និងរារាំងការវិភាគសុវត្ថិភាព។

ខ្សែសង្វាក់ឆ្លងមេរោគច្រើនដំណាក់កាលអាចឱ្យមានការចូលប្រើពីចម្ងាយ

នៅពេលដែលត្រូវបានប្រតិបត្តិតាមរយៈ 'WScript.exe' នោះ VBScript ដែលមានគំនិតអាក្រក់នឹងចាប់ផ្តើមដំណើរការឆ្លងមេរោគច្រើនដំណាក់កាលដោយការទាញយក និងប្រតិបត្តិសមាសធាតុ VBScript បន្ថែម។ គោលបំណងចម្បងនៃស្គ្រីបដំបូងគឺដើម្បីទាញយក payload បន្ទាប់បន្សំពីរពីម៉ាស៊ីនមេពីចម្ងាយ។ payload មួយព្យាយាមរៀបចំឥរិយាបថ Windows User Account Control (UAC) ខណៈពេលដែលមួយទៀតទាញយក និងបើកដំណើរការបណ្ណសារ ZIP ដែលមានកញ្ចប់ដំឡើងសម្រាប់ ManageEngine RMM Central។

ការដំឡើងកម្មវិធី RMM ស្របច្បាប់ដោយជោគជ័យផ្តល់ឱ្យអ្នកវាយប្រហារនូវសមត្ថភាពចូលប្រើពីចម្ងាយ ដែលអាចឱ្យពួកគេគ្រប់គ្រងប្រព័ន្ធរបស់ជនរងគ្រោះ។

ផ្លូវប្រតិបត្តិផ្សេងៗគ្នានៅលើគេហទំព័រ WhatsApp និងកុំព្យូទ័រលើតុ

ដំណើរការឆ្លងមេរោគខុសគ្នាអាស្រ័យលើវេទិកា WhatsApp ដែលកំពុងប្រើ។ នៅលើ WhatsApp Web ជនរងគ្រោះត្រូវបានតម្រូវឱ្យទាញយកឯកសារ ហើយបើកវាដោយដៃពីថតឯកសារទាញយក ឬប្រវត្តិរុករក ដោយជឿថាវាជាឯកសារពិតប្រាកដ។

ផ្ទុយទៅវិញ កម្មវិធី WhatsApp Desktop អនុញ្ញាតឱ្យមេរោគដំណើរការដោយផ្ទាល់នៅក្នុងបរិស្ថានអតិថិជន។ ការវិភាគដំណើរការបង្ហាញថា 'WhatsApp.Root.exe' ដែលជាដំណើរការផ្ទៃខាងក្រោយរបស់កម្មវិធី ទទួលខុសត្រូវចំពោះការបើកដំណើរការ 'WScript.exe' ដែលបន្ទាប់មកចាប់ផ្តើមខ្សែសង្វាក់ព្យាបាទ។

ការតភ្ជាប់ដែលអាចកើតមានទៅនឹងប្រតិបត្តិការមេរោគមុនៗ

ទោះបីជាយុទ្ធនាការនេះមិនទាន់ត្រូវបានសន្មតជាផ្លូវការថាជារបស់ក្រុមគំរាមកំហែងជាក់លាក់ណាមួយក៏ដោយ ក៏អ្នកស៊ើបអង្កេតបានកំណត់អត្តសញ្ញាណហេដ្ឋារចនាសម្ព័ន្ធដែលត្រួតស៊ីគ្នាជាមួយសកម្មភាពព្យាបាទពីមុនដែលជាប់ទាក់ទងនឹងក្រុមគ្រួសារមេរោគ Gh0st RAT និង ValleyRAT។ ភាពស្រដៀងគ្នាទាំងនេះបង្ហាញថាប្រតិបត្តិការនេះអាចចែករំលែកធនធាន ឬយុទ្ធសាស្ត្រជាមួយយុទ្ធនាការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតពីមុន។

ការប្រុងប្រយ័ត្នសំខាន់ៗសម្រាប់អ្នកប្រើប្រាស់ WhatsApp

អ្នកជំនាញសន្តិសុខណែនាំអ្នកប្រើប្រាស់ឱ្យប្រុងប្រយ័ត្ននៅពេលទទួលបានឯកសារភ្ជាប់ដែលមិននឹកស្មានដល់តាមរយៈ WhatsApp ទោះបីជាសារទាំងនោះហាក់ដូចជាមកពីទំនាក់ទំនងដែលទុកចិត្តក៏ដោយ។ ប្រភេទឯកសារខាងក្រោមមិនគួរត្រូវបានបើកទេ លុះត្រាតែភាពស្របច្បាប់របស់ពួកវាត្រូវបានបញ្ជាក់ដោយឯករាជ្យ៖

• ឯកសារស្គ្រីប VBS និង VBE
• ឯកសារដែលអាចប្រតិបត្តិបានដូចជា EXE, BAT និង CMD
• ទម្រង់​ដែល​ផ្អែក​លើ​ស្គ្រីប រួម​ទាំង JS និង PS1

ការផ្ទៀងផ្ទាត់ឯកសារភ្ជាប់មុនពេលបើកវានៅតែជាការការពារដ៏មានប្រសិទ្ធភាពបំផុតមួយប្រឆាំងនឹងយុទ្ធនាការមេរោគដែលកេងប្រវ័ញ្ចវេទិកាទំនាក់ទំនងដែលគួរឱ្យទុកចិត្ត។