យុទ្ធនាការមេរោគថ្មី ត្រូវគេមើលឃើញពីការប្រើ OpenBullet configuration files អាក្រក់ ដើម្បីឆ្ពោះទៅកាន់ឧក្រឹដ្ឋជនសាយប័រដែលគ្មានបទពិសោធន៍ក្នុងគោលបំណងបញ្ជូនមេរោគ remote access trojan (RAT) ដែលមានសមត្ថភាពលួចព័ត៌មានសំខាន់។
ក្រុមហ៊ុន Kasada ថ្លែងថា សកម្មភាពត្រូវបង្កើតឡើង ដើម្បីកេងចំណេញលើបណ្តាញឧក្រឹដ្ឋកម្មដែលមានទំនុកចិត្ត ដែលជាឧទាហរណ៍នៃក្រុមហេគឃ័រឈានមុខ វាយលើក្រុមហេគឃ័រថ្មីៗ។ OpenBullet គឺជា open-source pen testing tool ស្របច្បាប់ប្រើសម្រាប់ការប្រហារស្វ័យប្រវត្តិកម្មការបញ្ចូលព័ត៌មានសម្ងាត់។ វាត្រូវការឯកសារកំណត់រចនាសម្ព័ន្ធដែលត្រាប់តាមគេហទំព័រជាក់លាក់មួយ និងអាចភ្ជាប់វាជាមួយបញ្ជីលេខសម្ងាត់តាមរយៈមធ្យោបាយផ្សេង ដើម្បីលួចចូល (log) ជោគជ័យ។ ក្រុមហ៊ុនថ្លែងថា OpenBullet អាចត្រូវប្រើជាមួយ Puppeteer ដែលជា headless browser ដែលអាចត្រូវប្រើសម្រាប់ទំនាក់ទំនងវេបដោយស្វ័យប្រវត្តិ។ រឿងនេះធ្វើឱ្យវាមានភាពងាយស្រួលសម្រាប់ការប្រហារព័ត៌មានសម្ងាត់ដោយគ្មានសាររំលឹកពី browser windows។
ការកំណត់រចនាសម្ព័ន្ធ គឺជាចំណែកមួយនៃកូដប្រតិបត្តិដើម្បីបង្កើតសំណើ HTTP ប្រឆាំងនឹងគេហទំព័រគោលដៅ ឬកម្មវិធីវេប ក៏ដូចជាត្រូវធ្វើអាជីវកម្ម ឬលក់ក្នុងសហគមន៍ឧក្រឹដ្ឋជន ដែលជម្រុញដល់សកម្មភាពខុសច្បាប់ និងអនុញ្ញាតឱ្យ script kiddies ដើម្បីបង្កើនការប្រហាររបស់ពួកគេ។ ក្រុមហ៊ុនសន្តិសុខសាយប័រអុីស្រាអែលកត់សម្គាល់កាលពីខែកញ្ញា ឆ្នាំ២០២១ថា ជាក់ស្តែង ចំណាប់អារម្មណ៍នៅក្នុងការទិញរចនាសម្ព័ន្ធ (configs) បង្ហាញថាអ្នកប្រើ OpenBullet មិនសូវស្មុគស្មាញ។ ប៉ុន្តែ វាក៏អាចជាឧទាហរណ៍មួយទៀតនៃការបែងចែកកម្លាំងប្រកបដោយប្រសិទ្ធភាពរបស់គេហទំព័រអាក្រក់។ ហេគឃ័រផ្សាយថាពួកគេចង់ទិញ configs ដោយសារពួកគេមិនដឹងពីរបៀបប្រើ (script) ពួកគេ ប៉ុន្តែដោយសារតែវាងាយស្រួល និងលឿនជាង។ ភាពបទបែននេះក៏អាចជាអាវុធមុខ២ ខណៈពេលវាប្រើវុិចទ័រថ្មី ដែលវាមានគោលដៅលើហេគឃ័រផ្សេង ដែលកំពុងស្វែងរកដូចជា configuration files នៅលើវេទិកាហេគ។
ក្រុមហ៊ុន Kasada រកឃើញថា configs អាក្រក់ត្រូវចែកចាយនៅលើ Telegram channel ដើម្បីចូលទៅដល់ GitHub repository ដើម្បីទទួល Rust-based dropper ឈ្មោះ Ocean ដែលត្រូវបង្កើតឡើងដើម្បីចាប់យក payload ដំណាក់កាលបន្ទាប់ពី repository ដូចគ្នា។ មេរោគ Python-based សំដៅដល់កម្មសិទ្ធិបញ្ហា (Patent) ចុងក្រោយអាចដាក់ចេញ remote access trojan ដែលប្រើ Telegram ដូចជាយន្តការ command-and-control (C2) និងចេញការណែនាំដើម្បីចាប់យក screenshots, list directory contents, terminate tasks, ច្រោះយកព័ត៌មានកាបូបគ្រីបតូ និងលួចលេខសម្ងាត់ និងខុឃីពី Chromium-based web browsers។ Browsers និងកាបូបគ្រីបតូគោលដៅរួមមាន Brave, Google Chrome, Microsoft Edge, Opera, Opera GX, Opera Crypto, Yandex Browser, Atomic, Dash Core, Election Cash, Electrum-LTC, Ethereum, Wallet, Exodus, Jaxx Liberty, Litecoin Wallet, and Mincoin។ មេរោគ trojan ក៏មានតួនាទីជា clipper ដើម្បីត្រួតពិនិត្យ clipboard សម្រាប់អាសយដ្ឋានកាបូបគ្រីបតូ និងមាតិកាជំនួសដែលត្រូវគ្នា (substitute contents matching) កំណត់ជាមុនជាមួយអាសយដ្ឋានដែលគ្រប់គ្រងដោយអ្នកគ្រប់គ្រង ដែលអាចនាំឱ្យផ្ទេរប្រាក់ដោយគ្មានការអនុញ្ញាត។ អាសយដ្ឋានកាបូប Bitcoin ចំនួន២ ដែលប្រតិបត្តិដោយហេគឃ័រទទួលប្រាក់ប្រមាណជា 1,703.15ដុល្លារ ក្នុងរយៈពេលជាង ២ខែ ដែលកំពុងប្រើការដោះដូរគ្រីបតូអាក្រក់ឈ្មោះ Fixed Float។ អ្នកស្រាវជ្រាវបន្តថា ការចែកចាយ OpenBullet configs អាក្រក់នៅក្នុង Telegram គឺជាវុិចទ័រនៃការចម្លងមេរោគ ដែលមានគោលដៅលើសហគមន៍ឧក្រឹដ្ឋជន អាស្រ័យលើការប្រើរូបិយប័ណ្ណគ្រីបតូ។ រឿងនេះបង្ហាញពីឱកាសរបស់ហេគឃ័រគូសវាសពីការប្រមូលរបស់ពួកគេទៅលើក្រុមគោលដៅជាក់លាក់ និងទទួលប្រាក់ គណនី ឬដំណើរការពីសមាជិកផ្សេង៕
