ក្រុមគំរាមកំហែង (Threat actor) មួយ ដែលត្រូវបានគេតាមដាន និងហៅឈ្មោះថា DriveSurge បាននិងកំពុងដំណើរការយុទ្ធនាការចែកចាយមេរោគខ្នាតធំ ដោយប្រើប្រាស់បច្ចេកទេស ClickFix និង FakeUpdates នៅលើគេហទំព័រដែលរងការវាយប្រហារ។យោងតាមក្រុមអ្នកស្រាវជ្រាវនៅក្រុមហ៊ុនសន្តិសុខបច្ចេកវិទ្យា SilentPush បានឱ្យដឹងថា គេហទំព័ររាប់ពាន់ត្រូវបានរងការវាយសម្រុកនៅក្នុងយុទ្ធនាការរបស់ DriveSurge ដើម្បីបង្វែរទិសដៅអ្នកចូលទស្សនា ទៅកាន់ប្រព័ន្ធហេដ្ឋារចនាសម្ព័ន្ធចែកចាយមេរោគ។
ClickFix គឺជាល្បិចបោកប្រាស់តាមបែបចិត្តសាស្ត្រ (Social Engineering) ដ៏ពេញនិយមមួយ ដែលបោកបញ្ឆោតជនរងគ្រោះឱ្យចម្លង (Copy) និងដំណើរការ (Execute) កូដបញ្ជាដែលមានមេរោគនៅលើប្រព័ន្ធកុំព្យូទ័ររបស់ពួកគេ ដែលជាញឹកញាប់បណ្តាលឱ្យឆ្លងមេរោគ ក្រោមលេសថាជាការដោះស្រាយបញ្ហាបច្ចេកទេស។នៅក្នុងការវាយប្រហារបែប FakeUpdates តួអង្គគំរាមកំហែងទាក់ទាញជនរងគ្រោះជាមួយនឹងផ្ទាំងសារឱ្យធ្វើបច្ចុប្បន្នភាពកម្មវិធីក្លែងក្លាយ ដែលភាគច្រើនជាការក្លែងបន្លំធ្វើជាការធ្វើបច្ចុប្បន្នភាពកម្មវិធីរុករក (Browser Updates) ដើម្បីបោកបញ្ឆោតពួកគេឱ្យទាញយក និងដំឡើងមេរោគ (Malicious Payloads)។
យោងតាមក្រុមអ្នកស្រាវជ្រាវរបស់ក្រុមហ៊ុន Silent Push បានឱ្យដឹងថា តួអង្គគំរាមកំហែង DriveSurge នេះ ដើរតួនាទីចម្បងជា “អ្នកផ្តល់ច្រកចូលដំបូង” (Initial Access Broker – IAB) ដែលដំណើរការលើគំរូអាជីវកម្ម “ទូទាត់ប្រាក់តាមចំនួនដំឡើង” (Pay-Per-Install – PPI) ដែលជួយបើកផ្លូវឱ្យមានការវាយប្រហារបន្តបន្ទាប់ទៀត។ អ្នកចូលទស្សនាគេហទំព័រដែលរងការវាយប្រហារ ត្រូវបានបង្វែរទិសដៅឆ្លងកាត់ “ប្រព័ន្ធបែងចែកចរាចរណ៍អ៊ីនធឺណិត” (Traffic Distribution System – TDS) មួយ ដែលគេស្គាល់ថា zTDS ហើយប្រព័ន្ធនេះនឹងធ្វើការវិភាគប្រវត្តិនិងទិន្នន័យរបស់អ្នកប្រើប្រាស់ (Profiles Them) រួចកំណត់ថា តើការប្រើល្បិចបោកប្រាស់បែប FakeUpdates ឬបែប ClickFix មួយណាដែលស័ក្តិសមជាង។
zTDS គឺជាប្រព័ន្ធ TDS ប្រភពកូដចំហ (Open-source) មួយ ដែលមានវត្តមានយ៉ាងហោចណាស់តាំងពីឆ្នាំ ២០១៥ មកម្ល៉េះ ហើយក្រុម DriveSurge បាននិងកំពុងប្រើប្រាស់វា យ៉ាងហោចណាស់ក៏ចាប់តាំងពីខែកញ្ញា ឆ្នាំ ២០២៥ មកដែរ។ក្រុមហ៊ុន Silent Push បានលើកឡើងថា៖ “តាមរយៈការប្រើប្រាស់ zTDS ក្រុម DriveSurge បានលួចគ្រប់គ្រងគេហទំព័រស្របច្បាប់ដែលមានកេរ្តិ៍ឈ្មោះល្បីៗរាប់ពាន់ ហើយបានបង្វែរទិសដៅអ្នកចូលទស្សនាទៅកាន់មេរោគដោយស្ងាត់ៗ ដោយទាំងម្ចាស់គេហទំព័រ និងអ្នកចូលទស្សនាផ្ទាល់ មិនបានដឹងខ្លួនទាល់តែសោះ”។
ល្បិចបោកប្រាស់បែប FakeUpdates រួមមានការបង្ហាញផ្ទាំងសារជូនដំណឹងក្លែងក្លាយឱ្យធ្វើបច្ចុប្បន្នភាពសម្រាប់កម្មវិធីរុករកជាច្រើនដូចជា Chrome, Firefox, Edge, Safari, Opera, Brave, Yandex, Vivaldi, Samsung Internet និង UC Browser ខណៈដែលការវាយប្រហារបែប ClickFix គឺពាក់ព័ន្ធនឹងការប្រើប្រាស់កូដបញ្ជា PowerShell (PowerShell commands)។ករណីមួយដែលត្រូវបានគូសបញ្ជាក់នៅក្នុងរបាយការណ៍របស់ Silent Push រួមមាន ការធ្វើបច្ចុប្បន្នភាព Firefox ក្លែងក្លាយមួយ ដែលបានទាញយកឯកសារបង្រួមប្រភេទ ZIP (ZIP archive) ដែលមានផ្ទុកឯកសារ DLL មួយចំនួន និងឯកសារដំណើរការដែលមានមេរោគ (Malicious executable) មួយ ដែលមានឈ្មោះថា ‘Browser Update.exe’។
ក្រុមអ្នកស្រាវជ្រាវបានរកឃើញសញ្ញាសម្គាល់បច្ចេកទេស (Technical fingerprints) ចំនួន ៨ ដែលផ្សារភ្ជាប់ទៅនឹងយុទ្ធនាការនេះ ដែលវាបានជួយសម្រួលដល់ការកំណត់អត្តសញ្ញាណប្រព័ន្ធហេដ្ឋារចនាសម្ព័ន្ធរបស់ DriveSurge និងគេហទំព័រដែលរងការវាយសម្រុក។ក្នុងចំណោមសញ្ញាសម្គាល់ទាំងនោះ មានការបង្កប់កូដ JavaScript (JavaScript injection) ទៅតាមទម្រង់ ‘t.js?site=’ ដែលក្នុងនោះ គឺជាតម្លៃសម្គាល់តែមួយគត់ (Unique Value) ដែលត្រូវបានកំណត់ឱ្យទៅគេហទំព័ររងគ្រោះនីមួយៗ។
តាមរយៈការវិភាគ ក្រុមហ៊ុន Silent Push បានរកឃើញដែនគេហទំព័របង្កប់មេរោគ (Malicious injection domains) ច្រើនជាង ៨០ និងបណ្តុំដែនគេហទំព័រដែលបានរៀបចំទុកជាអាវុធរួចជាស្រេច (Pre-weaponized domains) ប៉ុន្តែមិនទាន់ត្រូវបានយកមកប្រើប្រាស់ក្នុងការវាយប្រហារនៅឡើយ។ បន្ថែមពីលើនេះ ក្រុមអ្នកស្រាវជ្រាវបានរកឃើញទិន្នន័យមេរោគ JavaScript ដែលត្រូវបានបិទបាំងកូដ (Obfuscated JavaScript payload) និងត្រូវបានរចនាឡើងជាពិសេសក្នុងគោលដៅវាយប្រហារលើប្រព័ន្ធកុំព្យូទ័រ macOS (MacBook/iMac) ដោយវាត្រូវបានបញ្ជូនតាមរយៈការវាយប្រហារបែប ClickFix ក្រោមលេសជារូបភាពផ្ទៀងផ្ទាត់ (Verification-themed) ដែលលួចគ្រប់គ្រងឃ្លីបបត (Clipboard)។ នេះបញ្ជាក់ឱ្យឃើញថា យុទ្ធនាការវាយប្រហារនេះបានរីករាលដាលហួសពីប្រព័ន្ធ Windows ទៅទៀត។
អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យទាញយកបច្ចុប្បន្នភាពកម្មវិធីរុករក (Browser updates) ចេញពី Settings Menu របស់កម្មវិធីផ្ទាល់តែប៉ុណ្ណោះ (តាមរយៈ About > Check for Updates) និងត្រូវជៀសវាងដាច់ខាតនូវការដំណើរការកូដបញ្ជានៅក្នុង Windows Command Prompt ឬ Terminal ដែលខ្លួនមិនយល់ច្បាស់។
https://www.bleepingcomputer.com/news/security/hackers-hijack-thousands-of-sites-for-clickfix-and-fakeupdate-attacks/
ប្រភព BleepingComputer ចុះផ្សាយថ្ងៃទី០១ ខែមិថុនា ឆ្នាំ២០២៦
