អ្នកស្រាវជ្រាវសន្តិសុខសាយប័របង្ហើបប្រាប់ពីក្រុមសាយប័រថ្មីមានឈ្មោះ SYS01 stealer កំពុងតែបាញ់ឆ្ពោះទៅបុគ្គលិករដ្ឋាភិបាល រោងចក្រផលិត និងវិស័យផ្សេងទៀត។បន្ទប់ពិសោធន៍ Morphisec ថ្លែងថា ក្រុមសាយប័រនៅពីក្រោយយុទ្ធនាការនេះកំពុងតែវាយប្រហារ គណនីអាជីវកម្មហ្វេសប៊ុក (Facebook business accounts) ដោយប្រើការផ្សាយពាណិជ្ជកម្ម Google ads និងហ្វេសប៊ុក profile ក្លែងក្លាយ ដែលផ្សព្វផ្សាយដូចជាហ្គេម ព័ត៌មានក្មេងជំទង់ និងកម្មវិធី cracked ជាដើម ដើម្បីលួងជនរងគ្រោះឱ្យដោនឡូតឯកសារអាក្រក់។ ប្រតិបត្តិការនេះមានបំណងលួចព័ត៌មានសម្ងាត់ រួមមានទិន្នន័យ login, cookies, និងការផ្សាយពាណិជ្ជកម្មហ្វេសប៊ុក (Facebook ad) និងព័ត៌មានគណនីអាជីវកម្ម (business account information)។
ក្រុមហ៊ុនសន្តិសុខសាយប័រអ៊ីស្រាអែលថ្លែងថា យុទ្ធនាការសាយប័រនេះត្រូវជម្រុញដោយហិរញ្ញវត្ថុដែលមានឈ្មោះថា Ducktail។ ទោះជាយ៉ាងណា បើយោងតាម WithSecure កត់ត្រាថាសកម្មភាព Ducktail មានវត្តមានកាលពីខែកក្កដា ឆ្នាំ២០២២ ជាមួយនឹងសមត្ថភាពបំភាន់ និងគេចពីការរកឃើញ។ ជាងនេះ ការវាយប្រហារកើឡើងនៅពេលជនរងគ្រោះត្រូវលួងឱ្យចុចលើ URL ដែលផ្ញើចេញពីហ្វេសប៊ុក profile ឬការផ្សាយពាណិជ្ជកម្មក្លែងក្លាយ ដើម្បីដោនឡូត ZIP archive ដែលរាយការណ៍ពីកម្មវិធី cracked ឬព័ត៌មានក្មេងជំទង់។ ការបើកឯការ ZIP មានន័យថាជនរងគ្រោះបើកដំណើរការ loader (ជាទូទៅជាកម្មវិធី C# ស្របច្បាប់) ដែលវាងាយនឹងផ្ទុក DLL side-loading ហើយជាហេតុធ្វើឱ្យវាអាចផ្ទុកឯកសារ DLL អាក្រក់ អមជាមួយនឹងកម្មវិធី។
មេរោគនេះត្រូវបង្កើតឡើងដើម្បីប្រមូលយក Facebook cookies ពី Chrome-based web browsers (ឧ. Google Chrome, Microsoft Edge, Brave, Opera និង Vavaldi) ច្រោះយកព័ត៌មានហ្វេសប៊ុករបស់ជនរងគ្រោះដើម្បីបញ្ជាម៉ាស៊ីនមេពីចម្ងាយ និងដោនឡូតថែមទាំងដំណើរការឯកសារតាមចិត្ត។ លើសពីនេះ មេរោគមានសមត្ថភាព upload ឯកសារពីម៉ាស៊ីន host ដែលឆ្លងមេរោគដើម្បីបញ្ជានិងគ្រប់គ្រង (C2) ម៉ាស៊ីនមេ និងដំណើរការពាក្យបញ្ជាដែលផ្ញើចេញពីម៉ាស៊ីនមេ និងធ្វើបច្ចុប្បន្នភាពខ្លួនឯងនៅពេលមានជំនាន់ថ្មី។
ក្រុមហ៊ុនសន្តិសុខសាយប័រ Bitdefender បង្ហាញពីប្រតិបត្តិការលួចស្រដៀងគ្នានេះដែរមានឈ្មោះថា S1deload ដែលត្រូវបង្កើតឡើងដើម្បីលួចគណនីហ្វេសប៊ុក និងYouTube របស់អ្នកប្រើប្រាស់ និងប្រើប្រព័ន្ធដែលសម្របសម្រួលដើម្បីស្វែងរក cryptocurrency។ ក្រុមហ៊ុន Morphisec ថ្លែងថា DLL side-loading គឺជាបច្ចេកទេសដ៏មានប្រសិទ្ធភាពសម្រាប់បញ្ឆោតប្រព័ន្ធវីនដូក្នុងការផ្ទុកកូដព្យាបាទ។ នៅពេលដែលកម្មវិធីផ្ទុក (app loads) នៅក្នុងអង្គចងចាំ និងការស្វែងរកមិនត្រូវអនុវត្តទេ កម្មវិធីផ្ទុកឯកសារអាក្រក់ជំនួសឯកសារស្របច្បាប់ ហើយអនុញ្ញាតឱ្យហេគឃ័រលួចដោយស្របច្បាប់ ទុកចិត្ត និងថែមទាំងយល់ព្រមឱ្យកម្មវិធី ដំណើរការផ្ទុក និងប្រតិបត្តិ payloads អាក្រក់ថែមទៀត៕
