អតិថិជនធនាគារអុីតាលីក្លាយជាគោលដៅវាយប្រហារផ្នែកហិរញ្ញវត្ថុដែលប្រើ web-inject toolkit ថ្មីឈ្មោះថា drlBAN តាំងពីឆ្នាំ២០១៩។អ្នកស្រាវជ្រាវនៅ Cleafy ថ្លែងថា គោលបំណងសំខាន់នៃការបោកបញ្ឆោត drlBAN គឺដើម្បីចម្លងមេរោគទៅកាន់កន្លែងធ្វើការរបស់ក្រុមហ៊ុនវីនដូ ហើយព្យាយាមផ្លាស់ប្តូរការផ្ទេរប្រាក់តាមធនាគារស្របច្បាប់ដែលប្រតិបត្តិការដោយជនរងគ្រោះដោយការផ្លាស់ប្តូរអ្នកទទួលនិងផ្ទេរប្រាក់ទៅកាន់គណនីធនាគារមិនស្របច្បាប់។
គណនីធនាគារត្រូវគ្រប់គ្រងដោយហេគឃ័រ ដែលបន្ទាប់មកមានតួនាទីលាងលុយ។ ការប្រើ web injects គឺជាបច្ចេកទេសសាកល្បងពេលវេលា (time-tested) ដែលវាធ្វើឱ្យមេរោគចាក់បញ្ចូលស្រ្គីបនៅខាងអតិថិជនដោយមធ្យោបាយនៃការវាយប្រហារ man-in-the-browser (MitB) និងស្ទាក់ចាប់ចរាចររវាងម៉ាស៊ីនមេ។
ប្រតិបត្តិការបន្លំត្រូវជឿជាក់ដោយមធ្យោបាយនៃបច្ចេកទេសហៅថាប្រព័ន្ធបញ្ជូនដោយស្វ័យប្រវត្តិ (Automated Transfer System (ATS)) ដែលមានសមត្ថភាពឆ្លងកាត់ប្រព័ន្ធប្រឆាំងការបន្លំ (anti-fraud systems) ដែលរៀបចំដោយធនាគារនិងចាប់ផ្តើមផ្ទេរដោយគ្មានការអនុញ្ញាតពីកំុព្យូទ័ររបស់ជនរងគ្រោះ។ អ្នកប្រតិបត្តិនៅពីក្រោយ drIBAN យល់ច្បាស់នៅក្នុងការគេចចេញពីការរកឃើញនិងបង្កើតវិធីសាស្រ្តវិស្វកម្មសង្គមដ៏មានប្រសិទ្ធភាព បន្ថែមពីលើការបង្កើតនូវជំហានដ៏មានសុវត្ថិភាពសម្រាប់រយៈពេលវែងនៅក្នុងបណ្តាញណែតវកសហគ្រាសធនាគារ។ ក្រុមហ៊ុន Cleafy ថ្លែងកាលពីឆ្នាំ២០២១ ថានេះជាឆ្នាំនៃមេរោគធនាគារមានការរីកចម្រើន។ ជាងនេះទៀត មានការចង្អុលបង្ហាញថាសកម្មភាពស្រដៀងគ្នានេះកើតឡើងកាលពីឆ្នាំ២០១៨ ដោយ Proofpoint ខណៈដែល TA554 វាយប្រហារលើអ្នកប្រើប្រាស់នៅក្នុងប្រទេសកាណាដា អុីតាលី និងអង់គ្លេស។
ខ្សែច្រវាក់នៃការវាយប្រហារចាប់ផ្តើមជាមួយនឹងអុីម៉ែលស្របច្បាប់ (certified email ឬ PEC email) ដើម្បីបន្លំជនរងគ្រោះថាមានសុវត្ថិភាព។ អុីម៉ែល phishing ទាំងនេះមានសមត្ថភាពអាចទាញយកមេរោគ sLoad (aka Starslord loader)។ មេរោគ sLoad គឺជាឧបករណ៍លួចយកការណ៍ដែលប្រមូល និងច្រោះយកព័ត៌មានពី host ដែលសម្របសម្រួល ជាមួយនឹងការវាយតម្លៃគោលដៅនិងទម្លាក់ payload សំខាន់ដូចជា Ramnit ប្រសិនបើគោលដៅត្រូវចាត់ទុកថាមានប្រយោជន៍។ ដំណាក់កាលពង្រីក “enrichment phase” អាចបន្តជាច្រើនថ្ងៃឬសប្តាហ៍ វាអាស្រ័យលើចំនួននៃម៉ាស៊ីនដែលឆ្លងមេរោគ។ ទិន្នន័យបន្ថែមនឹងត្រូវច្រោះយកពីការឆ្លងមេរោគចូលទៅបណ្តាញណែតវក (ឬ botnet) ដែលកាន់តែរឹងមាំនិងជាប់លាប់។
មេរោគ sLoad ក៏ប្រើបច្ចេកទេស living-off-the-land (LotL) កេងចំណេញពីធូល (tools) វីនដូស្របច្បាប់ដូចជា PowerShell and BITSAdmin ជាផ្នែកមួយនៃការគេចខ្លួនរបស់វា។ លក្ខណៈផ្សេងទៀតនៃមេរោគគឺសមត្ថភាពឆែកប្រឆាំងនឹងបញ្ជីដែលកំណត់ទុករបស់ស្ថាប័នសាជីវកម្មធនាគារសម្រាប់ការពារ ការហេគទីតាំងការងារ និងការចម្លងមេរោគជាដើម។ មេរោគទាំងអស់ដែលឆ្លងកាត់ដំណាក់កាលទាំងនេះនឹងត្រូវជ្រើសរើសដោយអ្នកប្រតិបត្តិការ botnet និងត្រូវចាត់ទុកថាជា បេក្ខជនថ្មី សម្រាប់ប្រតិបត្តិការឆបោកធនាគារនិងផ្លាស់ទីទៅកាន់ជំហានបន្ទាប់ដែលជាកន្លែង Ramnit នឹងធ្វើការដំឡើង៕
