DBatLoader ដែលគេស្គាល់ថាជាមេរោគ ModiLoader និង NatsoLoader គឺកំពុងតែត្រូវប្រើប្រាស់នៅក្នុងយុទ្ធនាការបន្លំជាច្រើនដើម្បីកំណត់គោលដៅទៅលើក្រុមហ៊ុនផលិតកម្ម និងអាជីវកម្មផ្សេងៗនៅក្នុងបណ្តាប្រទេសអ៊ឺរ៉ុប។ តួអង្គគំរាមកំហែងកំពុងប្រើប្រាស់ទម្រង់ និងវិធីសាស្រ្តជាច្រើនដើម្បីចែកចាយបន្ទុកចុងក្រោយដែលមានដូចជា Formbook, Remcos RAT, Netwire RAT និង Warzone RAT តាមរយៈ DBatLoader ។
យោងតាមប្រភពអ្នកស្រាវជ្រាវ Zscaler ឱ្យដឹងថា មេរោគ DBatLoader ប្រើបច្ចេកវិទ្យាពហុស្រទាប់ និងរូបភាពដែលលាក់បាំងព័ត៌មាន ឬវត្ថុរូបវន្តផ្សេងទៀត ដើម្បីចៀសវាងការរកឃើញក្នុងការលាក់ដំណាក់កាលដំបូងចេញពីម៉ាស៊ីនរាវរក។វាត្រូវចែកចាយតាមរយៈយុទ្ធនាការបន្លំ ដែលបន្តកែសម្រួលបច្ចេកទេសចែកចាយថ្មី។ វាប្រើទម្រង់ឯកសារជាច្រើនដែលមានដូចជា PDF, HTML, ZIP និង OneNote ដើម្បីបញ្ជូនបន្ទុកដែលមិនត្រូវរកឃើញ។ មេរោគនេះទម្លាក់ឯកសារដែលអាចប្រតិបត្តិច្រើន ដែលជាប្រភេទ DLLs និងឯកសារបាច់ដើម្បីធ្វើសកម្មភាពព្យាបាទ។ វាទាញយកបន្ទុកក្នុងដំណាក់កាលក្រោយៗចេញពីសេវាកម្ម cloud សាធារណៈដែលមានដូចជា OneDrive និង Google Drive។ វាឆ្លងកាត់ Windows UAC ដោយបំពានលើថតចម្លងដែលទុកចិត្ត និងបង្កើនសិទ្ធិឱ្យកាន់តែខ្ពស់ដោយមិនបង្ហាញប្រអប់បញ្ចូល UAC ។
DBatLoader សម្រេចនូវភាពធន់ដោយបង្កើតច្បាប់ចម្លងដោយខ្លួនឯង។ វាបង្កើតឯកសារដែលមាន Extension ជា .url ដែលដំណើរការបន្ទុកព្យាបាទដែលទម្លាក់នៅលើប្រព័ន្ធ។ មេរោគប្រើហ្វាលឯកសារនេះដើម្បីបង្កើតសោចុះបញ្ជីដោយស្វ័យប្រវត្តិ ដែលអាចបន្ត reboots ទៀត។ ដើម្បីចែកចាយ បន្ទុក Remcos តាមរយៈ DBatLoader យុទ្ធនាការអ៊ីមែលបន្លំក្លែងធ្វើជាវិក្កយបត្រទូទាត់ សម្រង់ការប៉ានស្មានទំនិញ ឯកសារបញ្ជាទិញដែលកែប្រែ ការបញ្ជាទិញលក់ និងទំនិញស្រដៀងគ្នា។
អ៊ីមែលផ្តល់ឯកសារភ្ជាប់ PDF ព្យាបាទ ដែលជាធម្មតាមានតំណភ្ជាប់ព្យាបាទ។ នៅពេលចុចលើតំណ ឯកសារ CAB ត្រូវទាញយក ខណៈដែលនោះគឺជាការទាញយក និងប្រតិបត្តិមេរោគ DBatLoader និងមេរោគ Remcos RAT បន្ថែមទៀត។ អ្នកវាយប្រហារកំពុងប្រើខ្សែសង្វាក់វាយប្រហារស្រដៀងគ្នាជាមួយនឹងអ៊ីមែលបន្លំផ្សេងៗគ្នា ដែលការវាយប្រហារទាំងអស់មានប្រភពចេញពីគេហទំព័រ WordPress ដូចគ្នា ដោយប្រើ DBatLoader ដើម្បីទាញយក Remcos ។
អ្នកវាយប្រហារចែកចាយ Formbook ជាមួយនឹងអ៊ីមែលបន្លំ ដែលមាន PDF ព្យាបាទជាមួយនឹងតំណភ្ជាប់ដែលបង្កប់ ដោយវាមានលក្ខណៈស្រដៀងទៅនឹងយុទ្ធនាការ Remcos។ ទោះជាយ៉ាងណាក៏ដោយ បន្ទុកត្រូវទាញយកចេញពីគេហទំព័រ WordPress ដែលមានដូម៉េនកម្រិតកំពូល .eu និងវិញ្ញាបនបត្រ SSL ដែលមានការអនុញ្ញាត។ នៅក្នុងយុទ្ធនាការដែលមានមូលដ្ឋានលើ HTML អ្នកវាយប្រហារកំពុងប្រើឯកសារ HTML ចម្រុះពហុស្រទាប់ ដែលជាឯកសារភ្ជាប់ត្រូវដំណើរការតាមរយៈ Base64 JavaScript ។ វាអាចឈានទៅដល់ឯកសារ ISO ដែលអ៊ិនកូដ Base64 ដែលដាក់ពង្រាយ និងប្រតិបត្តិ DBatLoader បន្ថែមទៀត។ នៅក្នុងយុទ្ធនាការដែលមានមូលដ្ឋានលើ OneNote តួអង្គគំរាមកំហែងបង្កប់បន្ទុកព្យាបាទនៅពីក្រោយប៊ូតុងក្លែងក្លាយ ហើយបញ្ឆោតពួកគេឱ្យទាញយក និងដំណើរការមេរោគ DBatLoader។
ដើម្បីការពារខ្លួនពីការវាយប្រហារបែបនេះ អ្នកប្រើប្រាស់ត្រូវតែបន្តការយកចិត្តទុកដាក់ប្រឆាំងនឹងការប៉ុនប៉ងបន្លំ និងចៀសវាងការបើកឯកសារភ្ជាប់ពីប្រភពដែលមិនស្គាល់។ ក្រៅពីនេះ អ្នកគ្រប់គ្រងត្រូវតែចាត់វិធានការសុវត្ថិភាពកម្រិតខ្ពស់ដូចជា XDR ដើម្បីទទួលភាពមើលឃើញដ៏ទូលំទូលាយនៅទូទាំង endpoints, cloud workloads និងរចនាសម្ព័ន្ធបណ្តាញ។ តាមរយៈការអនុម័តវិធានការទាំងនេះ អង្គភាពនានាអាចកាត់បន្ថយហានិភ័យនៃការធ្លាក់ខ្លួនក្លាយទៅជាជនរងគ្រោះក្នុងការវាយប្រហារទាំងនេះ និងដើម្បីការពារទិន្នន័យសំខាន់របស់ពួកគេ៕
ប្រភពព័ត៌មាន cyware ចុះផ្សាយថ្ងៃទី៣១ ខែមីនា ឆ្នាំ២០២៣
