មេរោគធនាគារមានគោលដៅលើអាមេរិកឡាទីន និងអឺរ៉ុបតាមរយៈ Google Cloud Run

0

អ្នកស្រាវជ្រាវសាយប័របានព្រមានពីការបោះនុយបញ្ឆោតនៅក្នុងអ៊ីម៉ែលដែលកំពុងតែប្រើក្នុង Google Cloud Run Service ដើម្បីបញ្ជូនមេរោគធនាគារដូចជា Astaroth (aka Guildma), Mekotio និង Ousaban (aka Javali) និងសំដៅទៅរកអាមេរិកឡាទីន (LATAM) និងអឺរ៉ុប។

អ្នកស្រាវជ្រាវនៅ Cisco Talos បានថ្លែងកាលពីសប្តាហ៍មុនថា ការចម្លងមេរោគមានប្រើ Microsoft Installer (MSIs) អាក្រក់ដែលមានមុខងារជា Droppers ឬ Downloaders សម្រាប់ Payloads មេរោគចុងក្រោយ។ ការចែកចាយមេរោគត្រូវបានសង្កេតឃើញកាលពីខែកញ្ញា ឆ្នាំ២០២៣ ដែលមានលាក់នៅក្នុង Google Cloud និងបង្កប់លីងផងដែរ។ Google Cloud Run គឺជា Managed Compute Platform ដែលអាចឱ្យអ្នកប្រើប្រាស់អាចដំណើរការ Frontend និង Backend Services ការងារជាក្រុម (Batch Jobs) ដាក់ពង្រាយគេហទំព័រ និងកម្មវិធី និងដំណើការ Workloads តាមលំដាប់លំដោយដោយមិនចាំបាច់គ្រប់គ្រង ឬធ្វើមាត្រដ្ឋាន (Scale) ហេដ្ឋារចនាសម្ព័ន្ធនោះទេ។ ហេគឃ័រអាចចូលមើល Google Cloud Run និងដាក់ពង្រាយការចែកចាយហេដ្ឋារចនាសម្ព័ន្ធនៅលើ Platforms មានអង្គភាពភាគច្រើនទំនងជាមិនបានការពារប្រព័ន្ធខាងក្នុង (Internal Systems) ពីដំណើរការខាងក្រៅ (Accessing) នោះទេ បើយោងតាមអ្នកស្រាវជ្រាវ។ ចំណុចសំខាន់របស់ប្រព័ន្ធត្រូវបានប្រើសម្រាប់ផ្ញើសារឆបោកចេញពីប្រទេសប្រេស៊ីល អាមេរិក រុស្ស៊ី ម៉ិចស៊ីកូ Argentina, Ecuador អាមេរិកខាងត្បូង បារាំង អេស្បាញ និងបង់ក្លាដេស។ សារបន្លំភាគច្រើនពាក់ព័ន្ធនឹងវិក័យបត្រ ឬឯកសារហិរញ្ញវត្ថុ និងពន្ធដារ ដែលចេញពីភ្នាក់ងារពន្ធដារក្នុងតំបន់។

នៅក្នុងសារមានបង្កប់លីងទៅកាន់គេហទំព័រដែលបង្ហោះនៅលើ Run.app ដែលបញ្ជូន ZIP archive ដែលមានផ្ទុក MSI file អាក្រក់ដោយផ្ទាល់ ឬតាមរយៈ ៣០២ ទៅកាន់ Google Cloud Storage Location ដែលអ្នកដំឡើងបានរក្សាទុក។ ហេគឃ័រក៏ព្យាយាមគេចពីការតាមចាប់ ដោយប្រើទីតាំងបញ្ឆោត (Geofencing Tricks) ដោយនាំជនរងគ្រោះទៅកាន់ URLs ដែលមើលទៅដូចជាគេហទំព័រស្របច្បាប់ដូចជា Google នៅពេលដំណើរការជាមួយ U.S. IP Address។ ក្រៅពីហេដ្ឋារចនាសម្ព័ន្ធដូចគ្នាដើម្បីបញ្ជូនទាំងមេរោគ Mekotio និង Astaroth ដំណាក់កាលបន្ទាប់គឺចម្លងមេរោគ Ousaban។ មេរោគ Astaroth, Mekotio និង Ousaban ត្រូវបានបង្កើតឡើងសម្រាប់ស្ថាប័នហិរញ្ញវត្ថុ ដែលចាប់យក Logging Keystrokes និងថតអេក្រង់ សំដៅចំពោះតែគេហទំព័រធនាគារ ដែលកំពុងតែបើកដំណើរការ។ មេរោគ Ousaban មានប្រវត្តិធ្លាប់ប្រើ Cloud Service ធ្វើការនៅលើ Amazon S3 និង Microsoft Azure ដើម្បីដោនឡូត Second-Stage Payloads និង Google Docs ដើម្បីទទួលបាន Command-and-Control (C2) Configuration៕

https://thehackernews.com/2024/02/banking-trojans-target-latin-america.html

ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៦ ខែកុម្ភៈ ឆ្នាំ២០២៤

LEAVE A REPLY

Please enter your comment!
Please enter your name here