កាលពីពេលថ្មីៗនេះ អ្នកស្រាវជ្រាវសុវត្ថិភាពសាយប័រនៅក្រុមហ៊ុន Morphisec រកឃើញ ឧបករណ៍លួចព័ត៌មានថ្មី ដែលត្រូវហៅថា “SYS01stealer”។ អ្នកលួចនេះកំណត់គោលដៅជាចម្បងទៅលើអង្គភាពមួយចំនួនដូចជា បុគ្គលិកផ្នែកហេដ្ឋារចនាសម្ព័ន្ធ ក្រុមហ៊ុនផលិត និងវិស័យសំខាន់ៗផ្សេងទៀត។
ក្រុមស៊ើបការណ៍ Morphisec និងកំពុងតាមដានអ្នកលួចព័ត៌មានកម្រិតខ្ពស់នេះចាប់តាំងពីខែវិច្ឆិកា ឆ្នាំ២០២២។ ជាផ្នែកមួយនៃយុទ្ធនាការនេះ តួអង្គគម្រាមកំហែងកំពុងប្រើប្រាស់ការផ្សាយពាណិជ្ជកម្ម Google និងទម្រង់ Facebook ក្លែងក្លាយ ដើម្បីកំណត់គោលដៅទៅលើគណនីអាជីវកម្ម Facebook និងការផ្សាយពាណិជ្ជកម្មដូចជា ហ្គេម មាតិកាវ័យជំទង់ និងកម្មវិធីក្រេក និងរឿងជាច្រើនផ្សេងទៀត។
តាមមធ្យោបាយនេះ ពួកគេល្បួងជនរងគ្រោះ និងឱ្យជនរងគ្រោះទាញយកឯកសារមេរោគ។ នៅក្នុងការវាយប្រហារ ព័ត៌មានសំខាន់ៗដែលក្រុមហេគឃ័រមានបំណងលួចយកមានដូចជា ទិន្ន័យលុកចូល Cookies ព័ត៌មានគណនីផ្សាយពាណិជ្ជកម្ម Facebook និង ព័ត៌មានគណនីអាជីវកម្ម Facebook។ គេជឿថា យុទ្ធនាការនេះត្រូវភ្ជាប់ទៅនឹងប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត Ducktail ដែលមានជាប់ពាក់ព័ន្ធនឹងផ្នែកហិរញ្ញវត្ថុ។
ដើម្បីចាប់ផ្តើមការវាយប្រហារ ប្រវត្តិរូប Facebook ក្លែងក្លាយ ឬការផ្សាយពាណិជ្ជកម្មក្លែងក្លាយ ត្រូវប្រើដើម្បីទាក់ទាញឱ្យជនរងគ្រោះឱ្យចុចលើតំណ URL។ ដោយគ្រាន់តែចុចលើ តំណ URL នេះ អ្នកវាយប្រហារអាចធ្វើឱ្យជនរងគ្រោះទាញយកឯកសារ ZIP ដែលសន្មត់ថាមានធាតុមួយចំនួនដូចជាកម្មវិធី ហ្គេម និងប្រភេទរឿងផ្សេងៗ។
ការចម្លងមាន ២ផ្នែកដោយមួយគឺជាបន្ទុក និងមួយទៀតជាឧបករណ៍ដំឡើង Inno-Setup។ គេរកឃើញថា WDSyncService.exe របស់ Western Digital និង ElevatedInstaller.exe របស់ Garmin គឺជាកម្មវិធីមួយចំនួនដែលត្រូវកេងប្រវ័ញ្ចដើម្បីផ្ទុកឯកសារ DLL ដ៏អាក្រក់។ ក្រៅពីនេះ ជួនកាលការប្រតិបត្តិកម្រិតមធ្យមដែលមានមូលដ្ឋានលើ Python និង Rust ត្រូវដាក់ពង្រាយតាមរយៈ side-loaded DLL។
អ្នកលួចយក Facebook cookies ចេញពី web browsers ដែលដំណើរការលើ Chromium ដែលជាកម្មវិធីរុករកពេញនិយមបំផុត។ ឈ្មោះកម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលផ្អែកលើ Chromium មានដូចជា Microsoft Edge, Brave, Microsoft Edge, Opera និង Vivaldi។ ជាលទ្ធផល ព័ត៌មាន Facebook របស់ជនរងគ្រោះទាំងអស់ត្រូវផ្ទេរទៅម៉ាស៊ីនមេពីចម្ងាយ ក៏ដូចជាឯកសារដែលបំពានត្រូវទាញយក និងបំពាន។ ក្រៅពីនេះ វានៅមានសមត្ថភាពជាច្រើនផ្សេងទៀតដូចជា ការភ្ជាប់ម៉ាស៊ីន C2 server ទៅកាន់ម៉ាស៊ីនដែលឆ្លងមេរោគ ហើយបង្ហោះឯកសារចូល។ អនុវត្តតាមពាក្យបញ្ជា និងការណែនាំដែលផ្តល់ដោយម៉ាស៊ីនមេ។ ដរាបណាកំណែថ្មីត្រូវចេញផ្សាយ វានឹងអាប់ដេតដោយខ្លួនវាផ្ទាល់។
អនុសាសន៍ចាំបាច់មួយចំនួន
ដើម្បីបញ្ឆោតប្រព័ន្ធ Windows ឱ្យផ្ទុកកូដព្យាបាទនោះ DLL side-loading គឺជាបច្ចេកទេសដ៏មានប្រសិទ្ធភាពបំផុត។ ក្នុងអំឡុងពេលដំណើរការផ្ទុកកម្មវិធីក្នុងអង្គចងចាំ ប្រសិនបើលំដាប់នៃការស្វែងរកមិនត្រូវអនុវត្តតាម ឯកសារព្យាបាទនឹងត្រូវផ្ទុកនៅក្នុង preference ដើម្បីឱ្យឯកសារមានភាពស្របច្បាប់។ កត្តានេះអនុញ្ញាតិឱ្យភ្នាក់ងារគំរាមកំហែងដំណើរការបន្ទុកព្យាបាទ បើទោះបីជាកម្មវិធីដែលគួរឱ្យទុកចិត្តនិងស្របច្បាប់ត្រូវហេគក៏ដោយ។ វាមានភាពចាំបាច់ណាស់ក្នុងការអនុវត្តគោលការណ៍មិនទុកចិត្ត និងកំណត់សិទ្ធិរបស់អ្នកប្រើប្រាស់នៅពេលនិយាយអំពីការទាញយក និងដំឡើងកម្មវិធី ដើម្បីជួយការពារប្រព័ន្ធពីអ្នកលួច SYS01៕
ប្រភព gbhackers ចុះផ្សយថ្ងៃទី៨ ខែមីនា ឆ្នាំ២០២៣