លទ្ធផលនៃការស្វែងរកនៅលើ Google ក្លាយជាចំណុចក្តៅនៃការផ្សាយពាណិជ្ជកម្មព្យាបាទដែលលើកស្ទួយមេរោគ។ កាលពីពេលថ្មីៗនេះ តួអង្គគំរាមកំហែងត្រូវគេរកឃើញថាបំពានលើ Google Ads ដើម្បីចែកចាយមេរោគ BatLoader។ ប្រតិបត្តិករយុទ្ធនាការប្រើប្រាស់យុទ្ធសាស្ត្រក្លែងបន្លំកម្មវិធីសម្រាប់ការចែកចាយមេរោគ និងបន្ថែមបន្ទុកមេរោគចំនួនពីរបន្ថែមទៀតនៅពេលឆ្លងមេរោគ។
បើតាមក្រុមហ៊ុនសន្តិសុខអ៊ីនធឺណិត eSentire ឱ្យដឹងថា នៅក្នុងយុទ្ធនាការនេះ តួអង្គគំរាមកំហែងចុះឈ្មោះវេបសាយថ្មីៗដែលក្លែងបន្លំធ្វើជាកម្មវិធី និងយីហោស្របច្បាប់ផ្សេងៗ រួមមាន ChatGPT, Zoom, Spotify, AnyDesk, Microsoft Teams, Java, Tableau និង Adobe។
វេបសាយទាំងនេះបង្ហោះ និងចែកចាយឯកសារកម្មវិធីដំឡើង Windows ដែលមានគំនិតអាក្រក់ដែលមានពាក្យបញ្ជាសកម្មភាពផ្ទាល់ខ្លួនដើម្បីប្រតិបត្តិបណ្តុំឯកសារដែលបង្កប់ (InstallPython[.]bat ឬ PythonFramework[.]bat) ជាមួយនឹងសិទ្ធិអ្នកគ្រប់គ្រងនៅក្នុង window ដែលបង្កប់។ បណ្តុំឯកសារនេះពន្លាឯកសារ Python ចំនួន២ ដែលត្រូវការពារដោយប្រើ PyArmor។ ឯកសារដំណើរការកូដ Python ដែលផ្ទុកបន្ទុក BatLoader payload ដើម្បីទាញយកមេរោគនៅដំណាក់កាលបន្ទាប់ដូចជា Vidar Stealer និង Ursnif ដែលបង្ហោះនៅលើម៉ាស៊ីនមេពីចម្ងាយ។
យុទ្ធនាការ ដែលចាប់ផ្តើមនៅក្នុងខែកុម្ភៈ បង្ហាញពីការផ្លាស់ប្តូរមួយចំនួននៅក្នុងប្រភេទមេរោគត្រឹមតែរយៈពេលដ៏ខ្លី។ គំរូមេរោគ BatLoader ថ្មីៗនេះ ខ្វះសមត្ថភាពក្នុងការបង្កើតការចូលប្រើដែលភ្ជាប់ទៅកាន់បណ្តាញសហគ្រាស ទោះបីជាយ៉ាងណាក៏ដោយសម្ថភាពត្រូវបន្ថែមនៅក្នុងប្រភេទមេរោគចុងក្រោយបង្អស់។ នៅពាក់កណ្តាលខែកុម្ភៈបណ្តុំឯកសារមានឯកសារ Python ទីបី ដែលបំភាន់ជាមួយ PyArmor ដែលត្រូវបង្កប់ជាមួយនឹងស៊េរីនៃពាក្យបញ្ជាដូចគ្នា ដើម្បីដោះស្រាយការទាញយកបន្ទុក ការឌិគ្រីប និងការប្រតិបត្តិ។ ឯកសារ Python នោះជួយរៀបចំបន្ទុកសម្រាប់ប្រព័ន្ធដែលភ្ជាប់ជាមួយដូម៉េនដែលមានលេខ IP ច្រើនជាងពីរនៅក្នុងតារាង ARP របស់ប្រព័ន្ធ។
អ្នកជំនាញសង្ស័យថា មេរោគ BatLoader ប្រើ Cobalt Strike បន្ថែមពីលើបន្ទុកស្តង់ដារដូចជា Vidar Stealer និង Ursnif ។សរុបមក មេរោគ BatLoader កំពុងកែលម្អខ្លួនវាជាបន្តបន្ទាប់ជាមួយនឹងល្បិចដ៏គួរឱ្យជឿជាក់បន្ថែមទៀតដូចជាការក្លែងបន្លំកម្មវិធីអាជីវកម្មដ៏ពេញនិយម និងការផ្សព្វផ្សាយតាមរយៈការផ្សាយពាណិជ្ជកម្មតាម Google។ នាពេលថ្មីៗនេះ ការគំរាមកំហែងផ្សេងទៀតជាច្រើនត្រូវគេសង្កេតឃើញដោយប្រើវិធីសាស្ត្រក្លែងបន្លំដូចគ្នាក្នុងពេលថ្មីៗនេះ។ ដូច្នេះ អង្គភាពនានាត្រូវ អប់រំបុគ្គលិកអំពីរបៀបការពារពីការក្លែងបន្លំមេរោគជាកម្មវិធីស្របច្បាប់៕
ប្រភពព័ត៌មាន cyware ចេញផ្សាយថ្ងៃទី១៤ ខែមីនា ឆ្នាំ២០២៣