អ្នកស្រាវជ្រាវសាយប័របានរកឃើញយុទ្ធនាការមេរោគថ្មីដែលបន្លំប្រើគេហទំព័រ Google ក្លែងក្លាយ និងការលួចបន្លំ HTML សម្រាប់បញ្ជូនមេរោគពាណិជ្ជកម្ម (Commercial Malware) ឈ្មោះ AZORult ក្នុងបំណងលួចព័ត៌មាន។
អ្នកស្រាវជ្រាវនៅ Netskope Threat Labs បានថ្លែងថា ហេគឃ័រប្រើតិចនិកលួចបន្លំ HTML មិនធម្មតាដែលមាន Payload អាក្រក់ត្រូវបានបង្កប់នៅក្នុងឯកសារ JSON ផ្សេង (Separate) ហើយត្រូវបានបង្ហោះនៅលើគេហទំព័រខាងក្រៅ (External Websites)។ យុទ្ធនាការបន្លំមិនត្រូវបានមើលឃើញថា ជាការគំរាមកំហែងជាក់លាក់ ឬក្រុមនោះទេ។ ក្រុមហ៊ុនសន្តិសុខសាយប័របានរៀបរាប់ថា មេរោគនេះដូចជាឆ្លងរាលដាលតាមដំណើរ (Nature) ក្នុងបំណងប្រមូលយកទិន្នន័យសម្ងាត់សម្រាប់លក់នៅលើវេទិកាខុសច្បាប់។ មេរោគ AZORult ឬ PuffStealer និង Ruzalto គឺជាមេរោគលួចព័ត៌មានត្រូវបានរកឃើញនៅចន្លោះឆ្នាំ២០១៦។ វាត្រូវបានចែកចាយតាមរយៈយុទ្ធនាការសារបន្លំ (Malspam) អ្នកដំឡើងមេរោគ (Trojanized Installers) សម្រាប់កម្មវិធី ឬប្រព័ន្ធផ្សព្វផ្សាយលួចចម្លង និងការផ្សាយពាណិជ្ជកម្មមិនពិត (Malvertising)។
នៅពេលមេរោគត្រូវបានដំឡើង វាមានសមត្ថភាពប្រមូលយកអត្តសញ្ញាណ Cookies និងប្រវត្តិ (History) ពី Web Browsers ការថតអេក្រង់ (Screenshots) ឯកសារដែលមាន Extensions (.TXT, .DOC, .XLS, .DOCX, .XLSX, .AXX និង .KDBX) និងទិន្នន័យពីកាបូបប្រាក់គ្រីបតូចំនួន ១៣៧។ ឯកសារ AXX គឺជាឯកសារដែលត្រូវបានអ៊ីនគ្រីបដោយ AxCrypt ខណៈពេលដែល KDBX សំដៅទៅរកទិន្នន័យ (Database) លេខសម្ងាត់ដែលបង្កើតឡើងដោយ KeePass Password Manager។ ការវាយប្រហារចុងក្រោយពាក់ព័ន្ធនឹងហេគឃ័រដែលបង្កើតគេហទំព័រ Google Docs ក្លែងក្លាយនៅលើ Google Sites ដែលប្រើការលួចបន្លំ HTML សម្រាប់បញ្ជូន Payload។ ការលួចបន្លំ HTML ត្រូវបានហៅថាជាតិចនិកលួចដោយសម្ងាត់ (Stealthy Technique) នៅក្នុង HTML5 ស្របច្បាប់ (Legitimate) និងមុខងារ JavaScript ត្រូវបានកេងចំណេញសម្រាប់ការដំឡើង និងដាក់ចេញដំណើរការមេរោគ (Assemble and Launch) ដោយការលួចបន្លំ Scripts អាក្រក់ដែលបានអ៊ីនកូដ (Encoded)។ នៅពេលដែលអ្នកប្រើ (Visitor) ត្រូវបានបញ្ឆោតឱ្យបើកគេហទំព័រក្លែងក្លាយពីសារឆបោក (Phishing Email) Browsers ចាប់ផ្តើមឌិកូដ Script និងទាញយក Payload នៅលើឧបករណ៍ Host Device ដែលឆ្លងកាត់ប្រព័ន្ធគ្រប់គ្រងសុវត្ថិភាព (Security Controls) ដូចជា Email Gateways ដែលគេស្គាល់ថា គ្រាន់តែពិនិត្យមើលឯកសារភ្ជាប់ (Attachments) ដែលគួរឱ្យសង្ស័យប៉ុណ្ណោះ។ យុទ្ធនាការមេរោគ AZORult ចាប់យកវិធីសាស្រ្តបន្ថែម CAPTCHA Barrier ជាវិធីសាស្រ្តដែលមិនត្រឹមតែមើលទៅស្របច្បាប់ (Veneer of Legitimacy) ថែមទាំងបន្ថែមនូវ Layer សម្រាប់ការពារប្រឆាំងនឹង URL Scanners ថែមទៀត។ ឯកសារដែលបានដោនឡូតគឺជា Shortcut File (.LNK) ដែលបន្លំជាប្រតិបត្តិការធនាគារ (PDF Bank Statement) ចាប់ផ្តើមដំណើរការជាបន្តបន្ទាប់ដើម្បីប្រតិបត្តិការជាបណ្តុំ និង PowerShell Scripts ចេញពី Domain ដោយមានការសម្របសម្រួលគ្រប់គ្រងដោយក្រុមហេគឃ័រ។
មួយនៅក្នុងចំណោម PowerShell Scripts (“agent3.ps1”) ត្រូវបានបង្កើតឡើងសម្រាប់ចាប់យក AZORult Loader (“service.exe”) ដែលដោនឡូត និងប្រតិបត្តិការ PowerShell Script ផ្សេងទៀត (“sd2.ps1”) មានផ្ទុកមេរោគលួចព័ត៌មាន។ អ្នកស្រាវជ្រាវបានថ្លែងថា វាជាប្រតិបត្តិ Fileless AZORult infostealer ដោយសម្ងាត់ ដែលបានប្រើប្រាស់កូដ Reflective Code Loading សម្រាប់ឆ្លងកាត់ការតាមចាប់ Disk-Based Detection និងកាត់បន្ថយដាន (Artifacts)។ វាប្រើតិចនិកឆ្លងកាត់ AMSI សម្រាប់គេចពីការតាមចាប់ដោយចម្រុះភាពរបស់ Host-Based anti-Malware Products ដែលរួមទាំង Windows Defender។ មិនដូចជាឯកសារលួចបន្លំទូទៅទេ ការប្រមូលទិន្នន័យ (blob) ត្រូវបានបង្កប់នៅក្នុង HTML code យុទ្ធនាការនេះថតចម្លង Encoded Payload ពីគេហទំព័រ ដែលបានគ្រប់គ្រងបានដាច់ដោយឡែក (separate)។ ការប្រើប្រាស់ Domain ស្របច្បាប់ដូចជា Google Sites អាចជួយដល់ការបោកបញ្ឆោតជនរងគ្រោះឱ្យជឿជាក់ថាលីងនោះគឺស្របច្បាប់។ ក្រុមហ៊ុន Cofense បានបង្ហាញថា ការប្រើ SVG Files អាក្រក់របស់ហេគឃ័រនៅពេលថ្មីៗនេះសម្រាប់ផ្សព្វផ្សាយមេរោគ Agent Tesla និង XWorm ដោយការប្រើកម្មវិធី Open-Source ឈ្មោះ AutoSmuggle និងធ្វើឱ្យឯកសារលួចបន្លំ HTML ឬ SVG ងាយស្រួលដំណើរការ។
ក្រុមហ៊ុនបានពន្យល់ថា AutoSmuggle បានទាញយកឯកសារដូចជា exe ឬ Archive នៅក្នុង SVG ឬ HTML file ដូច្នេះនៅពេល SVG ឬ HTML file ត្រូវបានបើក “ឯកសារលួចបន្លំ (Smuggled File)” ត្រូវបានបញ្ជូន។ នៅក្នុងយុទ្ធនាការក៏ត្រូវបានមើលឃើញថា បានប្រើប្រាស់នូវ Shortcut Files Packed នៅក្នុង Archive Files សម្រាប់ផ្សព្វផ្សាយមេរោគ LokiBot ជាមេរោគលួចព័ត៌មានស្រដៀងនឹង AZORult ទាំងមុខងារប្រមូលទិន្នន័យពី Web Browsers និងកាបូបប្រាក់គ្រីបតូផងដែរ។ ក្រុមហ៊ុន SonicWall បានបង្ហាញថា LNK file ប្រតិបត្តិការ PowerShell Scripts សម្រាប់ដោនឡូត និងប្រតិបត្តិការ LokiBot Loader Executable ពី URL។ មេរោគ LokiBot Malware ត្រូវបានមើលឃើញថា បានប្រើការលាក់ (image steganography), multi-layered packing និងតិចនិកលួចបន្លំ (living-off-the-land (LotL)) នាពេលកន្លងមក។
អ្នកប្រើប្រាស់នៅអាមេរិកឡាទីនកំពុងតែក្លាយជាគោលដៅរបស់យុទ្ធនាការនេះ ដោយហេគឃ័របានបន្លំជាទីភ្នាក់ងារដ្ឋាភិបាលកូឡុំប៊ី និងបានផ្ញើអ៊ីម៉ែលបញ្ឆោតជាមួយនឹងឯកសារ PDF ដែលចោទប្រកាន់អ្នកទទួលសារថា បានបំពានលើច្បាប់ចរាចរណ៍។ បច្ចុប្បន្ន នៅពេលចុចលើ PDF file នាំជនរងគ្រោះទៅដោនឡូត ZIP Archive ដែលមានផ្ទុក VBScripts។ នៅពេលប្រតិបត្តិការ VBScripts ទម្លាក់ PowerShell Scripts ទទួលខុសត្រូវក្នុងការទាញយកមេរោគ Trojan ចូលទៅក្នុង Device បានពីចម្ងាយដូចជា AsyncRAT, njRAT និង Remcos៕
https://thehackernews.com/2024/03/hackers-using-sneaky-html-smuggling-to.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៨ ខែមីនា ឆ្នាំ២០២៤
