យុទ្ធនាការមេរោគថ្មី ត្រូវរកឃើញនៅក្នុងមុខងារ Google Search ដែលជាយុទ្ធនាការ ផ្សព្វផ្សាយវេបសាយមេរោគ និងការដំឡើងកម្មវិធីក្លែងក្លាយ។ វាកំណត់គោលដៅចម្បងទៅលើជនជាតិចិននៅអាស៊ីបូព៌ា និងអាស៊ីអាគ្នេយ៍ជាមួយមេរោគ FatalRAT។
ទិន្ន័យប្រមូលដោយអ្នកស្រាវជ្រាវនៅក្រុមហ៊ុន ESET បង្ហាញថា យុទ្ធនាការនោះចាប់ផ្តើមកាលពីខែឧសភា ឆ្នាំ២០២២ និងមានដំណើរការរហូតដល់ខែមករា ឆ្នាំ២០២៣។ ប្រទេសចិន ទីក្រុងហុងកុង និងទីក្រុងតៃវ៉ាន់មានជនរងគ្រោះច្រើនជាងគេ ខណៈការវាយប្រហារត្រូវគេតាមដាននៅក្នុងប្រទេសថៃ ប្រទេសសិង្ហបុរី ប្រទេសឥណ្ឌូនេស៊ី ប្រទេសហ្វីលីពីន ប្រទេសជប៉ុន ប្រទេសម៉ាឡេស៊ី និងប្រទេសមីយ៉ាន់ម៉ា។ អ្នកវាយប្រហារប្រើការផ្សាយពាណិជ្ជកម្មបង់ប្រាក់នៅលើ Google ដើម្បីផ្សព្វផ្សាយគេហទំព័របញ្ឆោតទាំងអស់របស់ពួកគេដែលបង្ហោះកម្មវិធីដំឡើងមានមេរោគ(Trojanized)។ ឥឡូវនេះ ការផ្សាយពាណិជ្ជកម្មទាំងនេះត្រូវដកចេញហើយ។ដើម្បីធ្វើជាម្ចាស់វេបសាយបោកបញ្ឆោត អ្នកវាយប្រហារចុះឈ្មោះដូម៉េនក្លែងក្លាយជាច្រើន (ដូចជា telegraem[.]org) ដែលស្រដៀងទៅនឹងគេហទំព័រពិតប្រាកដ (telegram[.]org)។
ដូម៉េនក្លែងក្លាយទាំងនេះបង្ហោះវេបសាយដែលមើលទៅដូចជាកម្មវិធីពិត ហើយដូម៉េនទាំងអស់ចង្អុលទៅអាសយដ្ឋាន IP ដូចគ្នា។ អាសយដ្ឋាន IP នេះជាកម្មសិទ្ធិរបស់ម៉ាស៊ីនមេដែលបង្ហោះគេហទំព័រក្លែងក្លាយជាច្រើន និងកម្មវិធីដំឡើងដែលខូចដោយមានឧបករណ៍ដំឡើងដូចកម្មវិធីមេរោគ FatalRAT។ វេបសាយ និងកម្មវិធីដំឡើងត្រូវក្លែងបន្លំខណៈដែលកំណែកម្មវិធីជាភាសាចិនវិធីពិតប្រាកដមិនមាននៅក្នុងប្រទេសចិននោះទេ។ កម្មវិធីក្លែងបន្លំទាំងនោះរួមមានកម្មវិធី Telegram កម្មវិធី LINE កម្មវិធី WhatsApp កម្មវិធី Signal កម្មវិធី Skype កម្មវិធី Google Chrome កម្មវិធី Mozilla Firefox កម្មវិធី WPS Office កម្មវិធី Electrum កម្មវិធី Sogou Pinyin Method និងកម្មវិធី Youdao ។
អ្នកវាយប្រហាររៀបចំកម្មវិធីដំឡើងដែលខូចនៅលើ Alibaba Cloud Object Storage Service ដោយញែកវាចេញពីម៉ាស៊ីនមេដែលវេបសាយត្រូវបង្ហោះ។ កម្មវិធីដំឡើងគឺជាឯកសារ MSI ដែលត្រូវបង្កើត និងចុះហត្ថលេខាជាឌីជីថលតាមរយៈកម្មវិធីដំឡើងកម្រិតខ្ពស់។ នៅពេលប្រតិបត្តិមេរោគ កម្មវិធីដំឡើងទាំងនេះនឹងទម្លាក់ និងដំណើរការសមាសធាតុជាច្រើន រួមទាំងកម្មវិធីដំឡើងពិតប្រាកដ កម្មវិធីផ្ទុកមេរោគ កម្មវិធីអាប់ដេត និងចុងក្រោយ បន្ទុកមេរោគ FatalRAT payload។ នៅពេលចម្លងមេរោគ មេរោគនោះផ្តល់ឱ្យអ្នកវាយប្រហារនូវការគ្រប់គ្រងពេញលេញទៅលើឧបករណ៍ដែលរងគ្រោះ ហើយអាចឱ្យពួកគេប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ ប្រមូលទិន្នន័យពីកម្មវិធីរុករកតាមអ៊ីនធឺរណិត ដំណើរការឯកសារ និ ងថតយកគ្រាប់ចុច។
យុទ្ធសាស្ត្រដែលប្រើក្នុងការវាយប្រហារនេះមិនមានភាពស្មុគស្មាញខ្លាំងនោះទេ អ្នកវាយប្រហារព្យាយាមជាច្រើនដងដើម្បីធ្វើឱ្យវាមើលទៅដូចជាកម្មវិធីពិត ដោយប្រើការផ្សាយពាណិជ្ជកម្ម Google ដែលបង់ប្រាក់ ឈ្មោះដូម៉េនក្លែងក្លាយ និងឧបករណ៍ដំឡើងដែលខូចដែលផ្ទុកកម្មវិធីពិតប្រាកដ។អ្នកប្រើប្រាស់ត្រូវដឹងខ្លួន និងឧស្សាហ៍ធ្វើការត្រួតពិនិត្យច្រើនដង ខណៈពេលដែលចុចលើតំណភ្ជាប់ដែលផ្សព្វផ្សាយជាការផ្សាយពាណិជ្ជកម្ម៕
ប្រែសម្រួល៖ប៉ោក លក្ខិណា
