យុទ្ធនាការ Malvertising ថ្មីត្រូវបានរកឃើញថាបានដាក់ពង្រាយនៅលើគេហទំព័រក្លែងក្លាយ ដែលបន្លំជា Windows News Portal ស្របច្បាប់ ដើម្បីផ្សាយកម្មវិធីសម្រាប់ install ដែលមានបង្កប់មេរោគ ជាប្រភេទកម្មវិធីសម្រាប់ត្រួតពិនិត្យប្រព័ន្ធ Profiling Tool ដ៏ពេញនិយមឈ្មោះ CPU-Z។
អ្នកស្រាវជ្រាវនៅ Malwarebytes Labs បានថ្លែងថា ឧប្បត្តិហេតុនេះគឺជាផ្នែកមួយនៃយុទ្ធនាការ Malvertising ដ៏ធំមួយ ដែលផ្តោតលើការប្រើប្រាស់ Utilities ជាច្រើនដូចជា Notepad++, Citrix និង VNC Viewer ដែលយើងអាចមើលឃើញនៅក្នុងរចនាសម្ព័ន្ធរបស់វា (Domain Name) និង Templates ត្រូវបានបិទបាំងដើម្បីគេចចេញពីការតាមចាប់។ ខណៈពេលដែលយុទ្ធនាការ Malvertising ត្រូវបានគេមើលឃើញថា ត្រូវបានចម្លង ឬបន្លំគេហទំព័រផ្សាយពាណិជ្ជកម្មដ៏ទូលំទូលាយ និងសកម្មភាពចុងក្រោយបំផុតនោះគឺធ្វើត្រាប់តាមគេហទំព័រ WindowsReport.com។ គោលដៅនៃយុទ្ធនាការគឺដើម្បីបន្លំអ្នកប្រើប្រាស់ដែល Search រក CPU-Z នៅលើ Search Engine ដូចជា Google ដោយបម្រើនូវការផ្សាយពាណិជ្ជកម្មឆបោក នៅពេលចុច (Clicked) គេហទំព័រនោះក៏នាំជនរងគ្រោះទៅកាន់ Portal (workspace-app[.]online) ក្លែងក្លាយតែម្តង។ នៅពេលជាមួយគ្នានោះដែរ អ្នកប្រើប្រាស់ដែលមិនមែនជាជនរងគ្រោះត្រូវបានផ្តល់ជូននូវ Blog ដែលគ្មានកំហុសជាមួយនឹង Articles ផ្សេង (ដែលប្រើបច្ចេកទេសបិទបាំង)។
កម្មវិធី MSI installer ដែលបាន Sign និងត្រូវបានបង្ហោះនៅលើគេហទំព័រក្លែងក្លាយនោះមាន PowerShell Script ក្លែងបន្លំ ដែល Loader គេស្គាល់ថាជា FakeBat (aka EugenLoader) ដែលធ្វើការចែកចាយអ្នកលួច RedLine Stealer នៅលើការគ្រប់គ្រង Host ម៉ាស៊ីន។ អ្នកស្រាវជ្រាវ Segura ក៏បានបន្ថែមថា វាអាចទៅរួចដែរថា ហេគឃ័រជ្រើសរើសយកការបង្កើតគេហទំព័របញ្ឆោតដែលមើលទៅដូច Windows Report ដោយសារតែ Software Utilities ជាច្រើនដែលតែងតែត្រូវបានដោនឡូតពី Portals នេះជំនួសគេហទំព័រ (Web page) ផ្លូវការ។ វាមិនមែនជាការផ្សាយពាណិជ្ជកម្ម Software ដ៏ពេញនិយមរបស់ Google ប៉ុន្តែវាបែរជាក្លាយជាការចែកចាយមេរោគទៅវិញ។ កាលពីសប្តាហ៍មុន ក្រុមហ៊ុនសន្តិសុខសាយប័រ eSentire បានបង្ហើបប្រាប់ពីយុទ្ធនាការ Nitrogen ដែលត្រូវបានអាប់ឡូត សម្រាប់បើកផ្លូវដំណើរការឱ្យមេរោគ BlackCat។
យុទ្ធនាការមួយចំនួនផ្សេងទៀតក៏បានចងក្រងជាឯកសារដោយក្រុមហ៊ុនសន្តិសុខសាយប័រកាណាដាបានឱ្យដឹងថា មានការជំរុញដោយប្រើវិធីសាស្រ្តដោនឡូត ហើយក៏នាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយ ដែលត្រូវជំរុញឱ្យចែកចាយមេរោគផ្សេងៗដូចជា NetWire RAT, DarkGate និង DanaBot នៅពេលថ្មីៗនេះ។ ការវិវឌ្ឍបានបង្ហាញថា ហេគឃ័របន្តកើនឡើងប្រើប្រាស់យុទ្ធនាការ Adversary-in-The-Middle (AiTM) Phishing Kits ដូចជា NakedPages, Strox និង DadSec ដើម្បីឆ្លងកាត់ការផ្ទៀងផ្ទាត់ចម្រុះកត្តា (multi-factor authentication) និងលួចគណនីគោលដៅ។
ក្រុមហ៊ុន eSentire ក៏បានប្រកាសឱ្យប្រុងប្រយ័ត្នអំពីវិធីសាស្រ្តវាយប្រហារថ្មីឈ្មោះ Wiki-Slack attack ដែលជាការវាយប្រហារផ្ទាល់ទៅកាន់អ្នកប្រើប្រាស់ និងមានគោលបំណងនាំជនរងគ្រោះទៅកាន់គេហទំព័រដែលគ្រប់គ្រងដោយហេគឃ័រ ដោយការបន្លំកថាខណ្ឌទី១នៃអត្ថបទ Wikipedia និងចែករំលែកវានៅលើកម្មវិធី Slack។ វាកេងចំណេញលើចំណុចមួយនៅក្នុងកម្មវិធី Slack (ដែលធ្វើខុសនៅត្រង់កថាខណ្ឌទី១ និងទី២) ដើម្បីបង្កើតលីងដោយស្វ័យប្រវត្តិ នៅពេល Wikipedia URL ត្រូវបាន Preview នៅក្នុង Enterprise Messaging Platform។ គួរកត់សម្គាល់ដែរថា នៅក្នុងការវាយប្រហារនេះគឺ ពាក្យទី១ (First Word) របស់កថាខណ្ឌទី២ នៅក្នុងអត្ថបទ Wikipedia ត្រូវតែនៅ Top-Level Domain (e.g., in, at, com, ឬ net) និងកថាខណ្ឌទី២ គួរតែលេចឡើងនៅក្នុង ១០០ពាក្យដំបូងនៃអត្ថបទ។
ចំពោះការរឹតបន្តឹងនេះ ហេគឃ័រនៅតែអាចប្រើឥរិយាបថ ដែលកម្មវិធី Slack ចែកចាយលទ្ធផល Preview របស់ Page ហើយនាំទៅកាន់លីងបន្លំ, Upon Clicking និងនាំជនរងគ្រោះទៅកាន់គេហទំព័រក្លែងក្លាយបានដ៏ដែល។ ក្រុមហ៊ុន eSentire បានបន្តថា ប្រសិនបើអ្នកប្រើប្រាស់គ្មានប្រព័ន្ធការពារត្រឹមត្រូវនោះទេ ហេគឃ័រអាចនឹងធ្វើការវាយប្រហារ Wiki-Slack ដោយការបន្លំ Wikipedia pages៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៩ ខែវិច្ឆិកា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
