ឧក្រិដ្ឋជនសាយប័រប្រើគេហទំព័រអាជីវកម្ម Facebook និងការផ្សាយពាណិជ្ជកម្មដើម្បីផ្សព្វផ្សាយការឆបោក Window Themes សម្រាប់ចម្លងមេរោគ SYS01 Password-Stealing Malware ទៅកាន់អ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យ។
អ្នកស្រាវជ្រាវនៅក្រុមហ៊ុន Trustwave បានសង្កេតឃើញនូវយុទ្ធនាការនៃការឆបោក ហើយបាននិយាយថាហេគឃ័រក៏បានផ្សព្វផ្សាយការដោនឡូតអាក្រក់ (Fake Downloads) មានដូចជាហ្គែមលួចចម្លង និងកម្មវិធី Sora AI, 3D Image Creator, និង One Click Active ជាដើម។ នៅពេលប្រើប្រាស់ Facebook Advertisements សម្រាប់ជំរុញមេរោគលួចយកព័ត៌មាន វាមិនមែនជារឿងថ្មីទេ ផ្លេតហ្វមប្រព័ន្ធផ្សព្វផ្សាយសង្គមធ្វើឱ្យយុទ្ធនាការឆបោកនេះក្លាយជាការគំរាមកំហែងយ៉ាងសំខាន់។
ការផ្សាយពាណិជ្ជកម្មហ្វេសប៊ុក៖ ហេគឃ័របានទាញយកការផ្សាយពាណិជ្ជកម្មដែលផ្សព្វផ្សាយពី Windows Themes ការដោនឡូតហេ្គមមិនគិតថ្លៃ និងកម្មវិធីពេញនិយមផ្សេងៗដែលមានភ្ជាប់មកជាមួយនូវ Cracks ដូចជា Photoshop, Microsoft Office និង Windows។ ការផ្សាយពាណិជ្ជកម្មទាំងនេះត្រូវបានផ្សព្វផ្សាយតាមរយៈការបង្កើតទំព័រអាជីវកម្មហ្វេសប៊ុកថ្មី ឬការលួចទំព័រដែលមានស្រាប់។ នៅពេលប្រើទំព័រហ្វេសប៊ុកដែលមានស្រាប់ ហេគឃ័រប្តូរឈ្មោះ (Rename) ឱ្យសមនឹងគ្រោងការណ៍ផ្សាយពាណិជ្ជកម្មរបស់ពួកគេ និងផ្សាយការដោនឡូតទៅដល់សមាជិកទំព័រដែលមានស្រាប់។ នៅក្នុងរបាយការណ៍ Trustwave បានសរសេរថា ហេគឃ័រកំណត់អត្តសញ្ញាណអាជីវកម្មដោយការប្តូរឈ្មោះទំព័រហ្វេសប៊ុក រឿងនេះអនុញ្ញាតឱ្យពួកគេអាចតាមដាន Follower ដែលមានស្រាប់ដើម្បីពង្រីកការផ្សាយពាណិជ្ជកម្មក្លែងបន្លំរបស់ពួកគេ។ គួរកត់សម្គាល់ដែរថា ទំព័រនីមួយៗត្រូវបានគ្រប់គ្រងដោយបុគ្គលនៅប្រទេសវៀតណាម ឬប្រទេសហ្វីលីពីន។
ក្រុមហ៊ុន Trustwave ថ្លែងថា ហេគឃ័របានគ្រប់គ្រងលើការផ្សាយពាណិជ្ជកម្មរាប់ពាននៅក្នុងយុទ្ធនាការឆបោកកំពូលៗឈ្មោះ Blue-Softs (8,100 ការផ្សាយពាណិជ្ជកម្ម) Xtaskbar-themes (4,300 ការផ្សាយពាណិជ្ជកម្ម) Newtaskbar-themes (2,200 ការផ្សាយពាណិជ្ជកម្ម) និង Awesome-Themes-Desktop (1,100 ការផ្សាយពាណិជ្ជកម្ម)។ នៅពេលអ្នកប្រើហ្វេសប៊ុកចុចលើពាណិជ្ជកម្ម ហេគឃ័របាននាំពួកគេទៅកាន់គេហទំព័រដែលបានបង្ហោះនៅលើ Google Sites ឬការបង្ហោះដែលមានបន្លំជាទំព័រសម្រាប់ Download សម្រាប់មាតិកាផ្សព្វផ្សាយរបស់ការផ្សាយពាណិជ្ជកម្ម។ គេហទំព័របង្ហោះពិត (True Hosting Pages) ត្រូវបានប្រើសម្រាប់ផ្សព្វផ្សាយគេហទំព័រឈ្មោះ Blue-Software ដែលផ្តល់នូវការដោនឡូតកម្មវិធី ឬហ្គែមមិនគិតថ្លៃ ។
ការចុចលើ ‘Download’ Buttons នឹងបណ្តាលឱ្យ Browser ដោនឡូត ZIP Archive ដែលត្រូវបានដាក់ឈ្មោះឱ្យបន្ទាប់ពី Particular Item។ ឧទាហរណ៍ ការដោនឡូត Fake Windows Themes នឹងបញ្ជូន Archive Named ‘Awesome_Themese_for_Win_10_11.zip’ និង Photoshop ដែលមានឈ្មោះ ‘Adobe_Photoshop_2023.zip’។ ខណៈពេលអ្នកដោនឡូតគិតថា ពួកគេទទួលបានកម្មវិធី ហ្គែម ឬ Window Theme ដោយមិនគិតថ្លៃនោះ តាមពិតទៅ Archive មានផ្ទុកមេរោគ SYS01 Information-Stealing Malware សោះ។ មេរោគទាំងនេះ ដំបូងត្រូវបានរកឃើញដោយ Morphisec កាលពីឆ្នាំ២០២២ ចំពោះមេរោគដែលបានចូលទៅក្នុងកុំព្យូទ័រនោះ គឺដើម្បីលួចយកទិន្នន័យពីកុំព្យូទ័រដែលឆ្លងមេរោគ និងប្រើសម្រាប់ប្រមូល Executables, DLLs, PowerShell Scripts និង PHP Scripts ។ នៅពេល Archive’s Main Executable ត្រូវបាន Loaded មេរោគដែលប្រើ DLL Sideloading សម្រាប់ Load DLL អាក្រក់ដោយការចាប់ផ្តើម Setting up មជ្ឈដ្ឋានដំណើរការមេរោគ Malware។ រឿងនេះរួមមានដំណើរការ PowerShell Scripts ដើម្បីការពារមេរោគមិនឱ្យដំណើរការ Virtualized Environment ក្នុងគោលដៅដើម្បីអាចគេចចេញពីការតាមចាប់ បន្ថែមពីលើ Folder Exclusions នៅក្នុង Windows Defender និង Configuring PHP Operating Environment សម្រាប់ Load PHP Scripts ដែលអាក្រក់។
មេរោគ SYS01 Information-Stealing Malware’s Primary Payload មាន PHP Scripts ដែលបង្កើត Scheduled Tasks ជាប់លាប់ និងលួចទិន្នន័យចេញពីឧបករណ៍។ ទិន្នន័យដែលត្រូវបានលួចរួមមាន Browser Cookies, Credentials ដែលបានរក្សាទុកនៅក្នុង Browser, Browser History និងកាបូបប្រាក់គ្រីបតូ។
មេរោគក៏ធ្វើកិច្ចការដោយប្រើ Facebook Cookies ដែលរកឃើញនៅលើឧបករណ៍សម្រាប់លួចព័ត៌មានគណនីចេញពីគេហទំព័របណ្តាញសង្គមដែររួមមាន៖
– ទាញយកព័ត៌មាន Personal Profile ដូចជា ឈ្មោះ អ៊ីម៉ែល និងថ្ងៃខែឆ្នាំកំណើត
– ទាញយកទិន្នន័យគណនីផ្សាយពាណិជ្ជកម្មលម្អិតរួមមាន ការចំណាយ និងវិធីសាស្រ្តបង់ប្រាក់
– ទិន្នន័យរួមមានអាជីវកម្ម គណនីផ្សាយពាណិជ្ជកម្ម អ្នកប្រើអាជីវកម្ម (Business Users) ដែលបង្ហាញពីការដំណើរការទិន្នន័យពាណិជកម្ម និងទិន្នន័យហិរញ្ញវត្ថុសំខាន់ៗ
– ព័ត៌មានលម្អិតអំពីទំព័រហ្វេសប៊ុកដែលគ្រប់គ្រងដោយអ្នកប្រើរួមមាន Follower Counts និង Roles។
ទិន្នន័យដែលត្រូវបានលួចត្រូវបានរក្សាទុកជាបណ្តោះអាសន្ននៅក្នុង %Temp% Folder មុននឹងផ្ញើចេញទៅហេគឃ័រ។
Cookies និងលេខសម្ងាត់ដែលត្រូវបានលួច អាចត្រូវបានលក់នៅពេលក្រោយទៅឱ្យហេគឃ័រផ្សេងទៀត ឬប្រើសម្រាប់កេងចំណេញលើគណនីជនរងគ្រោះ នៅពេលដែលទិន្នន័យហ្វេសប៊ុកទំនងជាត្រូវបានប្រើសម្រាប់លួចគណនីនៅក្នុងយុទ្ធនាការ Malvertising នាពេលខាងមុខ។ ក្រុមហ៊ុន Trustwave ថ្លែងបន្តថា ការឆបោក Malvertising មិនមែនមានតែនៅក្នុង Facebook ប៉ុណ្ណោះទេ គេឃើញមានស្រដៀងគ្នានេះដែរ កើតមាននៅ LinkedIn និង YouTube។ ក្រុមហ៊ុន Trustwave បានសន្និដ្ឋានថា យុទ្ធនាការឆបោក SYS01 Malvertisement កំពុងបង្កគ្រោះថ្នាក់ដល់អតិថិជនកាន់តែច្រើន និងបង្ហាញពីសារៈសំខាន់នៃការយល់ដឹងរបស់អ្នកប្រើប្រាស់នៅក្នុងប្រព័ន្ធផ្សព្វផ្សាយសង្គម។ តាំងពីឆ្នាំ២០២២ មេរោគ SYS01 បានផ្លាស់ប្តូរវិធីសាស្រ្តរបស់ខ្លួនដោយការបំលែងចេញពី Adult-Themed Clickbaits និង Game-Related Ads ដើម្បីចូលទៅជិតគោលដៅដែលជាអតិថិជនដូចជា Windows Themes និង AI-based Software Tools Advertisements។
ក្រុមហ៊ុន Trustwave បានរាយការណ៍កាលពីខែកុម្ភៈ អំពីយុទ្ធនាការឆបោក Facebook Malvertising សម្រាប់ជំរុញក្នុងការទប់ស្កាត់មេរោគ Ov3r_Stealer Password-Stealing Malware។ នាពេលថ្មីៗនេះ Bitdefender បានព្រមានថា ហេគឃ័រកំពុងតែលួចទំព័រហ្វេសប៊ុកដែលមានអ្នកប្រើប្រាស់រាប់លាននាក់ ដើម្បីបន្លំ AI Projects ដ៏ពេញនិយម។ បន្ទាប់មក ទំព័រទាំងនេះត្រូវបានប្រើសម្រាប់ចម្លងមេរោគលួចព័ត៌មានដូចជា Rilide, Vidar, IceRAT និង Nova៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៥ ខែកក្កដា ឆ្នាំ២០២៤
