មេរោគ Winos RAT

អ្នក​ប្រើ​ភាសា​ចិន​ត្រូវ​បាន​គេ​កំណត់​គោលដៅ​ដោយ​យុទ្ធនាការ​បំពុល SEO ដែល​អាច​ជំនួស​ទំព័រ​ទាញ​យក​កម្មវិធី​ពិត​ជាមួយ​នឹង​ការ​ក្លែង​បន្លំ​ដែល​គួរ​ឲ្យ​ជឿ។ អ្នកវាយប្រហារបានរុញកម្មវិធីដំឡើងព្យាបាទតាមរយៈចំណាត់ថ្នាក់ស្វែងរកដែលបានរៀបចំ និងដែនដែលនៅជិតដូចគ្នា ដែលធ្វើឱ្យវាងាយស្រួលសម្រាប់ជនរងគ្រោះក្នុងការចាប់យកអ្វីដែលមើលទៅដូចជាកម្មវិធីស្របច្បាប់ ប៉ុន្តែពិតជាដាក់ពង្រាយមេរោគដែលចូលប្រើពីចម្ងាយ។

របៀបដែលយុទ្ធនាការដំណើរការ

តួអង្គគំរាមកំហែងបានជំរុញទំព័រដែលក្លែងបន្លំនៅក្នុងលទ្ធផលស្វែងរកដោយបំពានកម្មវិធីជំនួយ SEO និងចុះឈ្មោះដែនដែលមើលទៅដូចដែលមើលឃើញត្រាប់តាមអ្នកលក់ស្របច្បាប់។ ពួកគេពឹងផ្អែកលើការប្តូរតួអក្សរ និងច្បាប់ចម្លងភាសាចិនយ៉ាងស្ទាត់ជំនាញ ដើម្បីបញ្ឆោតមនុស្សឱ្យចុច។ នៅពេលដែលជនរងគ្រោះចូលទៅកាន់ទំព័រទាញយក Trojanized កញ្ចប់ដំឡើងមានទាំងកម្មវិធីដែលរំពឹងទុក និងសមាសភាគព្យាបាទដែលលាក់។ ការបញ្ចូលគ្នានេះធ្វើឱ្យការរកឃើញដោយអ្នកប្រើប្រាស់ធម្មតាមិនទំនង។

គោលដៅ និងពេលវេលា

អ្នកស្រាវជ្រាវនៅខែសីហា ឆ្នាំ 2025 បានរកឃើញថា យុទ្ធនាការនេះទាក់ទាញអ្នកប្រើប្រាស់ដែលស្វែងរកផលិតភាព និងឧបករណ៍ទំនាក់ទំនងដ៏ពេញនិយម។ ឧទាហរណ៍នៃគោលដៅស្វែងរកដែលប្រើសម្រាប់នុយជនរងគ្រោះរួមមាន:

DeepL បកប្រែ

Google Chrome

សញ្ញា

តេឡេក្រាម

កម្មវិធី WhatsApp

ការិយាល័យ WPS

ក្រុមគ្រួសារមេរោគបានចូលរួម

ការវាយប្រហារបាននាំឱ្យមានការដាក់ពង្រាយវ៉ារ្យ៉ង់ទាក់ទងនឹង Gh0st RAT ជាពិសេស HiddenGh0st និង Winos (ត្រូវបានគេស្គាល់ផងដែរថាជា ValleyRAT) ។ Winos ត្រូវបានគេសន្មតថាជាចង្កោមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលត្រូវបានតាមដានក្រោមឈ្មោះក្លែងក្លាយជាច្រើនដូចជា Silver Fox, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 និង Void Arachne — ហើយត្រូវបានគេជឿថាមានសកម្មភាពតាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2022។

ខ្សែសង្វាក់ចែកចាយ - ការវិភាគបច្ចេកទេស

ឯកសារ JavaScript តូចមួយដែលមានស្លាក nice.js រៀបចំការចែកចាយពហុជំហាន។ ស្គ្រីបទាញយកការឆ្លើយតប JSON ម្តងហើយម្តងទៀត៖ តំណទាញយកដំបូងត្រឡប់ JSON ដែលមានតំណបន្ទាប់បន្សំ តំណទីពីរនោះត្រឡប់ JSON payload ផ្សេងទៀត ដែលចុងក្រោយបញ្ជូនបន្តទៅ URL កម្មវិធីដំឡើងព្យាបាទ។ ការបង្វែរទិសដៅជាស្រទាប់នេះទាំងពីរធ្វើឱ្យរំខានដល់ទីតាំងផ្ទុកចុងក្រោយ និងធ្វើឱ្យស្មុគស្មាញដល់ការរកឃើញដ៏សាមញ្ញ។

នៅខាងក្នុងកម្មវិធីដំឡើង៖

DLL ព្យាបាទដែលមានឈ្មោះថា EnumW.dll អនុវត្តសំណុំនៃការត្រួតពិនិត្យប្រឆាំងការវិភាគ ហើយបន្ទាប់មកទាញយក DLL ទីពីរ (vstdlib.dll) ។ ការទាញយក និងឥរិយាបថរបស់ vstdlib.dll ត្រូវបានរចនាឡើងដើម្បីបំប៉ោងការប្រើប្រាស់អង្គចងចាំ និងឧបករណ៍វិភាគយឺត ដែលរារាំងការត្រួតពិនិត្យដោយស្វ័យប្រវត្តិ ឬដោយដៃ។

DLL ទី 2 ពន្លា និងបើកដំណើរការបន្ទុកសំខាន់តែបន្ទាប់ពីការស៊ើបអង្កេតប្រព័ន្ធសម្រាប់វត្តមាននៃផលិតផលកំចាត់មេរោគជាក់លាក់មួយ។ ប្រសិនបើសមាសធាតុ AV នោះត្រូវបានរកឃើញ មេរោគប្រើការលួចចូល TypeLib COM ដើម្បីបង្កើតភាពជាប់លាប់ ហើយទីបំផុតប្រតិបត្តិប្រព័ន្ធគោលពីររបស់ Windows ដែលមានឈ្មោះថា insalivation.exe ។

ប្រសិនបើកំចាត់មេរោគគឺអវត្តមាន មេរោគនោះនឹងបង្កើតផ្លូវកាត់ Windows ដែលចង្អុលទៅការប្រតិបត្តិដូចគ្នា ដើម្បីសម្រេចបាននូវភាពស្ថិតស្ថេរ។

ការទូទាត់ចុងក្រោយ៖ SIDELoading AIDE.dll

គោលបំណងចុងក្រោយគឺដើម្បីដាក់ DLL ដែលហៅថា AIDE.dll ។ នៅពេលដែលសកម្ម AIDE.dll អនុវត្តសមត្ថភាពប្រតិបត្តិការចម្បងចំនួនបី៖

• Command-and-Control (C2)៖ ទំនាក់ទំនងដែលបានអ៊ិនគ្រីបជាមួយម៉ាស៊ីនមេពីចម្ងាយសម្រាប់ការណែនាំ និងការផ្លាស់ប្តូរទិន្នន័យ។
• ចង្វាក់បេះដូង៖ ការប្រមូលផ្តុំតាមកាលកំណត់នៃប្រព័ន្ធ និងព័ត៌មានជនរងគ្រោះ រួមទាំងការរាប់បញ្ចូលដំណើរការដែលកំពុងដំណើរការ និងពិនិត្យមើលពួកវាប្រឆាំងនឹងបញ្ជីរឹង-កូដនៃផលិតផលសុវត្ថិភាព។
• ម៉ូនីទ័រ៖ ការបញ្ជាក់ពីភាពស្ថិតស្ថេរ ការតាមដានសកម្មភាពអ្នកប្រើប្រាស់ និងការបញ្ជូនសញ្ញាធម្មតាត្រឡប់ទៅ C2 ។

សមត្ថភាពបន្ថែម និងកម្មវិធីជំនួយ

ម៉ូឌុល C2 គាំទ្រការបញ្ជាពីចម្ងាយ ដើម្បីទាញយកកម្មវិធីជំនួយបន្ថែម។ សមត្ថភាពដែលគេស្គាល់រួមមានការចាក់សោរសោ ការចាប់យកក្ដារតម្បៀតខ្ទាស់ ការត្រួតពិនិត្យអេក្រង់ និងឧបករណ៍ដែលបានរចនាឡើងដើម្បីប្លន់កាបូបលុយគ្រីបតូ — ជាពិសេសកាបូបដែលកាន់ទ្រព្យសម្បត្តិ Ethereum និង Tether ។ កម្មវិធីជំនួយជាច្រើនដែលបានសង្កេតឃើញនៅក្នុងឧប្បត្តិហេតុទាំងនេះហាក់ដូចជាសមាសធាតុដែលបានប្រើឡើងវិញពីក្របខ័ណ្ឌ Winos ហើយមានសមត្ថភាពតាមដានអេក្រង់ជាបន្តបន្ទាប់។

ហេតុអ្វីបានជាមេរោគពិបាកសម្គាល់

ដោយសារតែកម្មវិធីដំឡើងបណ្តុំកម្មវិធីស្របច្បាប់រួមជាមួយនឹងបន្ទុកព្យាបាទ អ្នកប្រើប្រាស់ដែលទាញយកអ្វីដែលមើលទៅដូចជាកម្មវិធីដែលអាចទុកចិត្តបានប្រហែលជាមិនកត់សំគាល់អ្វីខុសឡើយ។ អ្នកវាយប្រហារបានប្រើប្រាស់អាវុធសូម្បីតែលទ្ធផលស្វែងរកលំដាប់ខ្ពស់ ដែលបង្កើនឱកាសដែលអ្នកប្រើប្រាស់ដែលមានចេតនាល្អនឹងដំឡើងកញ្ចប់ដែលត្រូវបានសម្របសម្រួល។

អនុសាសន៍ការពារ

• តែងតែផ្ទៀងផ្ទាត់ឈ្មោះដែនដោយប្រុងប្រយ័ត្នមុនពេលទាញយកកម្មវិធី។ រកមើលការជំនួសតួអក្សរតូចតាច និង URL ដែលមិនត្រូវគ្នា។
• ចូលចិត្តគេហទំព័រអ្នកលក់ផ្លូវការ ឬហាងកម្មវិធីដែលបានផ្ទៀងផ្ទាត់ ជាជាងការទាញយកពីលទ្ធផលស្វែងរក។
• ប្រើការការពារចំណុចបញ្ចប់ដែលត្រួតពិនិត្យឥរិយាបថរបស់កម្មវិធីដំឡើង (មិនត្រឹមតែហត្ថលេខាឯកសារ) និងបើកការការពារប្រឆាំងនឹងការផ្ទុកចំហៀង DLL និងការលួច COM ។

សេចក្តីសន្និដ្ឋាន

យុទ្ធនាការនេះបង្ហាញពីរបៀបដែលអ្នកវាយប្រហាររួមបញ្ចូលគ្នានូវឧបាយកល SEO, ដែនដែលមើលទៅដូច, ការបង្វែរទិសដៅច្រើនដំណាក់កាល និងការគេចវេសដែលមានមូលដ្ឋានលើ DLL ដ៏ស្មុគ្រស្មាញ ដើម្បីជំរុញមេរោគ Gh0st-RAT-family malware ទៅកាន់អ្នកប្រើប្រាស់ដែលនិយាយភាសាចិន។ ការលាយបញ្ចូលគ្នានៃប្រព័ន្ធគោលពីរស្របច្បាប់ និងបន្ទុកលាក់កំបាំងធ្វើឱ្យការប្រុងប្រយ័ត្នចាំបាច់៖ ផ្ទៀងផ្ទាត់ប្រភព ពិនិត្យដែន និងប្រើការការពារដែលមើលឥរិយាបថពេលដំណើរការ ក៏ដូចជាកេរ្តិ៍ឈ្មោះឯកសារ។