យុទ្ធនាការមេរោគ Malware នៅអាមេរិកឡាទីន កំពុងតែចែកចាយអញ្ញត្តិមេរោគធនាគារថ្មីឈ្មោះ BBTok មានគោលដៅលើអ្នកប្រើនៅប្រេស៊ីល និងមុិចសុីកូ។ក្រុមហ៊ុន Check Point បានថ្លែងនៅសប្តាហ៍នេះថា មេរោគធនាគារ BBTok មានមុខងារបញ្ជូនដែលបង្ហាញ Interfaces ដូចគ្នានឹងធនាគារជាង ៤០ នៅមុិចស៊ីកូ និងប្រេសុីល និងបញ្ឆោតជនរងគ្រោះឱ្យបញ្ចូល 2FA code ទៅក្នុងគណនីធនាគាររបស់ពួកគេ ឬបញ្ចូលលេខកាតធនាគារបង់ប្រាក់របស់ពួកគេ។ Payloads ត្រូវបានបង្កើតឡើងដោយ Custom server-side PowerShell script និងមានលក្ខណៈ Unique សម្រាប់ជនរងគ្រោះម្នាក់ៗ ដោយផ្អែកលើប្រព័ន្ធប្រតិបត្តិការ និងប្រទេស ខណៈពេលនៃការបញ្ជូនតាមរយៈអុីម៉ែល Phishing ដែលប្រើប្រភេទឯកសារផ្សេងៗគ្នា។
BBTok គឺជាមេរោគធនាគារដំណើរការលើប្រព័ន្ធ Windows និងមានវត្តមាននៅឆ្នាំ២០២០។ វាត្រូវបានបំពាក់ជាមួយនឹងមុខងារដំណើរការ Trojan gamut ដែលធ្វើឱ្យវាអាច Kill processes, issue remote commands, manipulate keyboard, និងបង្ហាញទំព័រ Login ក្លែងក្លាយរបស់ប្រព័ន្ធធនាគារនៅក្នុងប្រទេសទាំង២ ខាងលើ។ ខ្សែច្រវាក់នៃការវាយប្រហារ ដំបូងវាដាក់ពង្រាយលីងមេរោគ ឬ ZIP file attachments ដើម្បីលួច Banker retrieved ពី Remote server (216.250.251[.]196) ខណៈពេលនៃការបង្ហាញឯកសារបញ្ឆោតទៅកាន់ជនរងគ្រោះ។ វាក៏អាចដំណើរការនៅលើប្រព័ន្ធ Windows 7 និង Windows 10 ដើម្បីគេចពីតាមចាប់ដូចជា Animalware Scan Interface (AMSI) ដែលស្គេនរកការគំរាមកំហែងនៅលើម៉ាសុីន។ នៅពេលដាក់ចេញនូវដំណើរការ មេរោគBBTok បង្កើតទំនាក់ទំនងជាមួយ Remote server ដើម្បីទទួល Commands ក្លែងជា Security verification pages សម្រាប់ធនាគារផ្សេងៗ។ ការក្លែងបន្លំ Interfaces របស់ធនាគារអាមេរិកឡាទីន គោលដៅគឺដើម្បីប្រមូលអត្តសញ្ញាណ និងព័ត៌មានផ្ទៀងផ្ទាត់ដែលបានវាយបញ្ចូលដោយអ្នកប្រើ ដើម្បីអាចគ្រប់គ្រងលើគណនីធនាគារអនឡាញ។ ក្រុមហ៊ុនបានបន្ថែមថា អ្វីដែលគួរឱ្យកត់សម្គាល់នោះគឺ វិធីសាស្រ្តប្រុងប្រយ័ត្នរបស់ប្រតិបត្តិករ៖ សកម្មភាពគ្រប់ធនាគារត្រូវបានធ្វើប្រតិបត្តិការអាស្រ័យលើ Direct Command ពី C2 server របស់វា និងមិនមែនធ្វើឡើងនៅលើប្រព័ន្ធឆ្លងមេរោគនោះទេ។
ការវិភាគរបស់ក្រុមហ៊ុន Check Point បានបង្ហាញថា ការអភិវឌ្ឍដ៏គួរឱ្យកត់សម្គាល់ និងគោលដៅតាំងពីឆ្នាំ២០២០ បានកំពុងតែពង្រីកខ្លួនលើសពីធនាគារមុិចស៊ីកូ។ វត្តមាននៃការប្រើភាសាអេស្បាញ និងប៉ទុយហ្គាល់នៅក្នុង Source code នៅក្នុងអុីម៉ែល Phishing បានបង្ហាញនូវប្រភពរបស់ក្រុមហេគឃ័រ។ អ្នកប្រើជាង ១៥០នាក់ ត្រូវបានវាយតម្លៃថា បានឆ្លងមេរោគ BBTok បើយោងតាម SQLite database រកឃើញនៅក្នុង Server hosting the payload generation component ដែលកត់ត្រានូវដំណើរការកម្មវិធីអាក្រក់។ ក្រុមហ៊ុនបានបន្តថា ទោះបីជា BBTok ស្ថិតក្រោមការឃ្លាំមើលក្តី បច្ចេកទេសដ៏ស្មុគស្មាញ និងគោលដៅជនរងគ្រោះមានតែនៅក្នុងប្រទេសមុិចស៊ីកូ និងប្រេស៊ីលតែប៉ុណ្ណោះ។ ដោយសារតែលក្ខណៈ Unique នៃវិធីសាស្រ្តបញ្ជូនដ៏ច្នៃប្រឌិតពាក់ព័ន្ធនឹង LNK files, SMB និង MSBuild របស់វា វានៅតែជាគ្រោះថ្នាក់ដល់អង្គភាព និងបុគ្គលនៅក្នុងតំបន់៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២២ ខែកញ្ញា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
