ហេគឃ័រប្រើឯកសារអាក្រក់ទាញយកដោយខ្លួនឯង (self-extracting archive (SFX) file) នៅក្នុងបំណងបង្កើតទ្វារក្រោយ (backdoor) ដើម្បីឆ្លងទៅកាន់មជ្ឈដ្ឋានជនរងគ្រោះ បើយោងតាមការរកឃើញរបស់ក្រុមហ៊ុន CrowdStrike។
SFX file មានសមត្ថភាពទាញយកទិន្នន័យពីជនរងគ្រោះដោយមិនចាំបាច់ប្រើកម្មវិធីបង្ហាញ file contents។ វាអាចធ្វើបែបនេះដោយរួមមានការបង្រួម (decompressor stub) ដែលជាកូដអាចបើក archive។ អ្នកស្រាវជ្រាវនៅ CrowdStrike ថ្លែងថា SFX archive files អាចលាក់មុខងារអាក្រក់ដែលមិនបង្ហាញអ្នកទទួល និងអាចត្រូវមើលរំលងដោយបច្ចេកវិទ្យា detections។ ជាងនេះ ក្រុមហ៊ុនសន្តិសុខសាយប័របន្ថែមថា អត្តសញ្ញាណដែលត្រូវសម្របសម្រួលនៅក្នុងប្រព័ន្ធត្រូវប្រើដើម្បីដំណើរការកម្មវិធីនៅក្នុងវីនដូស្របច្បាប់ Utility Manager (utilman.exe) និង SFX file ដែលការពារដោយលេខសម្ងាត់។
រឿងនេះអាចធ្វើដោយប្រើកម្មវិធីបំបាត់កំហុស (configuring debugger) (ដែលជាប្រតិបត្តិការផ្សេង) នៅក្នុង Windows Registry ទៅជាកម្មវិធីជាក់លាក់ (នៅក្នុងករណី utilman.exe) ដូច្នេះ កម្មវិធីបំបាត់កំហុស (debugger) ត្រូវចាប់ផ្តើមដោយស្វ័យប្រវត្តិរាល់ពេលដែលកម្មវិធីត្រូវដំណើរការ។ ការប្រើប្រាស់ utilman.exe ត្រូវកត់សម្គាល់ថា វាអាចត្រូវដំណើរការដោយផ្ទាល់ចេញពី Windows login screen ដោយប្រើ Windows logo key + U keyboard shortcut ដែលហេគឃ័រអាចប្រើទ្វារក្រោយតាមរយៈរូបភាពជា File Execution Options Registry key។ លើសពីនេះ អ្នកស្រាវជ្រាវលើកឡើងថា SFX archive ត្រូវបង្ហាញថាវាមានមុខងារជាទ្វារក្រោយការពារលេខសម្ងាត់ password-protected backdoor ដោយប្រើ WinRAR setup options ជាជាងការផ្ទុកមេរោគ។
File ត្រូវប្រើដើម្បីដំណើរការ PowerShell (powershell.exe), Command Prompt (cmd.exe) និង Task Manager (taskmgr.exe) ជាមួយនឹង NT AUTHORITY\SYSTEM privileges ដោយការផ្តល់សិទ្ធិលេខសម្ងាត់ទៅកាន់ archive ។ បន្ថែមពីនេះ អ្នកស្រាវជ្រាវក៏រៀបរាប់ថា ការវាយប្រហារបែបនេះកម្មវិធីកម្ចាត់មេរោគបុរាណក៏មិនអាចរកឃើញដែរ ដោយសារតែវាជាប្រភេទ password-protected ជាជាងដំណើរការចេញពី SFX archive decompressor stub។
នេះមិនមែនជាលើកទីមួយដែល SFX file ធ្វើការវាយប្រហារនោះទេ។ កាលពីខែកញ្ញា ឆ្នាំ២០២២ ក្រុមហ៊ុន Kaspersky បង្ហើបប្រាប់ថាមានយុទ្ធនាការមេរោគដែលប្រើលីងបែប password-protected files សម្រាប់ដាក់ពង្រាយមេរោគ RedLine Stealer ដែរ។ ដើម្បីកាត់បន្ថយហានិភ័យពីការវាយប្រហារ អ្នកជំនាញផ្តល់អនុសាសន៍ថា SFX archive ត្រូវវិភាគឆ្លងកាត់ unarchiving software ដើម្បីកំណត់ scripts ឬប្រព័ន្ធគោលពីរនានាដែលត្រូវកំណត់ដើម្បីដកចេញ និងដំណើរការនៅពេលប្រតិបត្តិការ៕
