កាលពីពេលថ្មីៗនេះ ក្រុមអ្នកស្រាវជ្រាវនៅក្រុមហ៊ុន Trend Micro បានរកឃើញមេរោគថ្មី ដែលមានឈ្មោះថា Bandit Stealer។ មេរោគនេះកំណត់គោលដៅលើកាបូប cryptocurrency និង web browsers ដោយវាមានជំនាញខ្លាំងក្នុងការគេចខ្លួនពីការចាប់បាន។
មេរោគនេះកំណត់គោលដៅជាចម្បងលើប្រព័ន្ធប្រតិបត្តិការ Windows និងប្រើប្រាស់ឧបករណ៍ស្របច្បាប់ runas[.]exe ដើម្បីប្រតិបត្តិកម្មវិធីក្រោមការអនុញ្ញាតពីអ្នកប្រើប្រាស់ផ្សេងៗគ្នា។ វាមានគោលបំណងបង្កើនសិទ្ធដើម្បីទទួលបានសិទ្ធិចូលដំណើរការរដ្ឋបាល និងឆ្លងកាត់វិធានការសុវត្ថិភាពដើម្បីប្រមូលទិន្នន័យជាច្រើនរបស់អ្នកប្រើប្រាស់ប្រកបដោយប្រសិទ្ធភាព។
ដោយសារតែការប្រើប្រាស់ភាសាកម្មវិធី Go មេរោគមានសមត្ថភាពឆ្លងវេទិកាដែលវាអាចពង្រីកឥទ្ធិពលរបស់វាទៅកាន់វេទិកាផ្សេងៗ។ មេរោគ Bandit Stealer ប្រើយន្តការ sandbox ដើម្បីសម្របឥរិយាបថរបស់វា និងគេចពីការរកឃើញ ឬការវិភាគដោយផ្អែកលើសូចនាករជាក់លាក់ដែលវាពិនិត្យសម្រាប់ container, jail, KVM, QEMU, sandbox, Virtual Machine, VirtualBox, VMware និង Xen។
តាមរយៈការប្រើពាក្យបញ្ជាជាក់លាក់របស់ម៉ាស៊ីន Linux វាអាចត្រូវបានរចនាឡើងដើម្បីឆ្លងម៉ាស៊ីន Linux ហើយទំនងជាកំពុងស្ថិតក្រោមការសាកល្បង ដោយសារការចូលទៅកាន់ផ្លូវឯកសារ “/proc/self/status” នៅលើប្រព័ន្ធវីនដូនឹងនាំឱ្យមានកំហុស។ មេរោគទាញយក និងរក្សាទុកមាតិកាពីតំណ Pastebin (hxxps[:]//pastebin[.]com/raw/3fS0MSjN) នៅក្នុងថត AppData ជាឯកសារដែលមានឈ្មោះថា “blacklist.txt”។ ព័ត៌មានលម្អិតដែលមាននៅក្នុងបញ្ចី មានដូចជា Hardware Ids, អាសយដ្ឋាន IP, អាសយដ្ឋាន MAC ឈ្មោះអ្នកប្រើប្រាស់ ឈ្មោះម្ចាស់ និងឈ្មោះដំណើរការ។ ខណៈពេលដែលព័ត៌មានលម្អិតទាំងអស់នេះបម្រើគោលបំណងក្នុងការកំណត់អត្តសញ្ញាណថាតើមេរោគកំពុងដំណើរការនៅក្នុង sandbox ឬកំពុងឆ្លងកាត់ការធ្វើតេស្ត។
ការចែកចាយមេរោគ Malware
មេរោគនេះរីករាលដាលតាមរយៈសារអ៊ីម៉េលបន្លំ ដោយវាបានបន្លំខ្លួនជាឯកសារភ្ជាប់ MS Word ដែលមិនបង្កគ្រោះថ្នាក់ដែលរំខានអ្នកប្រើប្រាស់ ខណៈពេលដែលចាប់ផ្តើមដំណើរការឆ្លងនៅក្នុងផ្ទៃខាងក្រោយ។ យន្តការគ្រប់គ្រងការចូលប្រើរបស់ក្រុមហ៊ុន Microsoft បានដំណើរការ មេរោគជាអ្នកគ្រប់គ្រងដែលមានព័ត៌មានសម្ងាត់ និងមានប្រយោជន៍នៅពេលអ្នកប្រើប្រាស់ខ្វះសិទ្ធិគ្រប់គ្រាន់សម្រាប់ការប្រតិបត្តិកម្មវិធី។ មេរោគនេះកែប្រែ Windows Registry និងប្រមូលទិន្នន័យផ្ទាល់ខ្លួន និងទិន្ន័យហិរញ្ញវត្ថុពីកាបូប crypto និងកម្មវិធីរុករកតាមអ៊ិនធឺរណិត។
មេរោគ Bandit Stealer លួច Telegram sessions។ មេរោគBandit Stealer លួចTelegram sessions សម្រាប់ការចូលប្រើដោយគ្មានការអនុញ្ញាត បើកការក្លែងបន្លំ និងសកម្មភាពព្យាបាទដូចជាការចូលប្រើសារឯកជន និងទិន្នន័យជាដើម។Browsers ដែលរងការវាយប្រហាររួមមាន 7Star, YandexBrowser, Brave-Browser, Amigo, Torch, Google Chrome Canary, Google Chrome, Cent Browser, Sputnik, Iridium, Orbitum, UCozMedia, Epic Privacy Browser, Microsoft Edge, Kometa។ កាបូប wallet ដែលរងការស្កេនរួមមាន Clover Wallet, Jaxx Liberty, Wombat, TronLink, Trust Wallet, Crypto.com, BitKeep: Crypto & NFT Wallet។
ទិន្ន័យដែលលួចចេញពី browser របស់ជនរងគ្រោះរួមមាន ទិន្ន័យលុកចូល Cookies Web history និងព័ត៌មានលម្អិតអំពីប័ណ្ណឥណទាន។អ្នកស្រាវជ្រាវបានរកឃើញកម្មវិធីដំឡើង Heart Sender ក្លែងក្លាយដែលបានបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យដំណើរការមេរោគដែលបានបង្កប់ ស្វ័យប្រវត្តិកម្មសារ SMS សារឥតបានការ និងការផ្ញើសារអ៊ីម៉េល។ព័ត៌មានដែលមេរោគ Bandit Stealer និងមេរោគស្រដៀងគ្នាលួចបានអាចឱ្យអ្នកវាយប្រហារចូលរួមក្នុងការលួចអត្តសញ្ញាណ ការបំពានទិន្នន័យ ការទទួលបានហិរញ្ញវត្ថុ ការហេគគណនី ការបញ្ចូលព័ត៌មានសម្ងាត់ ការលក់ទៅឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺរណិតផ្សេងទៀត និងធ្វើការវាយប្រហារបន្តបន្ទាប់ ដូចជាការជំរិតទារពីរដង និងចម្លងមេរោគ ransomware ជាដើម៕
ប្រភព gbhackers ចុះផ្សាយថ្ងៃទី២៩ ខែឧសភា ឆ្នាំ២០២៣
