ហេគឃ័រនៅលើបណ្តាញសង្គម X កំពុងតែកេងចំណេញលើព័ត៌មានទាក់ទងនឹង Ross Ulbricht សម្រាប់នាំអ្នកប្រើប្រាស់ដែលគ្មានការសង្ស័យទៅកាន់ Telegram Channel ដែលបញ្ឆោតអ្នកប្រើឱ្យបើកដំណើរការ PowerShell code សម្រាប់ចម្លងមេរោគ។
ការវាយប្រហារ ដែលបានមើលឃើញដោយ vx-underground គឺជាអញ្ញត្តិថ្មីនៃតិចនិរបស់ “Click-Fix” ដែលពេញនិយមនៅក្នុងចំណោមហេគឃ័រ សម្រាប់ចែកចាយមេរោគកាលពីឆ្នាំមុន។ ទោះជាយ៉ាងណា ជំនួសឱ្យការដោះស្រាយបញ្ហាសម្រាប់ភាព Errors នោះ អញ្ញត្តិមេរោគនេះក្លែងជា Captcha ឬ ប្រព័ន្ធផ្ទៀងផ្ទាត់ ដែលអ្នកប្រើត្រូវតែបើកដំណើរការដើម្បីភ្ជាប់ Channel។
កាលពីខែមុន អ្នកស្រាវជ្រាវពី Guardio Labs និង Infoblox បានបង្ហាញពីយុទ្ធនាការថ្មី ដែលបានប្រើទំព័រផ្ទៀងផ្ទាត់ CAPTCHA ដែលស្នើឱ្យអ្នកប្រើបើកដំណើរការ PowerShell Commands សម្រាប់បញ្ជាក់ថា ពួកគេមិនមែនជាមនុស្សយន្ត (bot) នោះ។
អ្នកបង្កើតផ្លូវបន្លំ Silk Road ប្រើសម្រាប់បញ្ឆោត៖ Ross Ulbricht គឺជាស្ថាបនិក និងជាប្រតិបត្តិករចម្បងនៃគេហទំព័រទីផ្សារងងឹតឈ្មោះ Silk Road ដែលបានដើរតួជា Hub សម្រាប់ការលក់ដូរទំនិញ និងសេវាខុសច្បាប់។ បុរសម្នាក់នេះត្រូវបានកាត់ទោសជាប់ពន្ធនាគារអស់មួយជីវិតកាលពីឆ្នាំ២០១៥ ពីបទជួយសម្រួលដល់បទឧក្រិដ្ឋ ប៉ុន្តែមិនបានប្រព្រឹត្តដោយផ្ទាល់ទេ។ ប្រធានាធិបតី ត្រាំ បានបង្ហាញពីទស្សនៈ ដោយបានសន្យាថា គាត់នឹងលើកលែងទោសឱ្យ Ulbricht នៅពេលគាត់ក្លាយជាប្រធានាធិបតីអាមេរិក ហើយកាលពីម្សិលមិញគាត់បានធ្វើតាមការសន្យាមែន។
ហេគឃ័របានកេងចំណេញលើអត្ថប្រយោជន៍ពីការអភិវឌ្ឍនេះ ដោយប្រើគណនី Ross Ulbricht ក្លែងក្លាយ ប៉ុន្តែបានផ្ទៀងផ្ទាត់នៅលើបណ្តាញសង្គម X ដើម្បីនាំអ្នកប្រើទៅកាន់ Telegram Channel ក្លែងក្លាយដែលបង្ហាញថាជា Ulbricht portals ផ្លូវការ។ នៅលើ Telegram អ្នកប្រើបានជួបនូវសំណើផ្ទៀងផ្ទាត់អត្តសញ្ញាណ So-called ដែលមានឈ្មោះថា ‘Safeguard’ បាននាំអ្នកប្រើឆ្លងកាត់ដំណើរការផ្ទៀងផ្ទាត់ក្លែងក្លាយ។ នៅទីបញ្ចប់ អ្នកប្រើបានមើលឃើញកម្មវិធី Telegram mini app ដែលបង្ហាញប្រអប់ផ្ទៀងផ្ទាត់ក្លែងក្លាយ។ កម្មវិធីខ្នាតតូចនេះចម្លងពាក្យ PowerShell ដោយស្វ័យប្រវត្តិទៅក្នុង Clipboard របស់ឧបករណ៍ (device) ហើយបន្ទាប់មកជំរុញអ្នកប្រើឱ្យបើកប្រអប់ Windows Run dialog និង Paste វាចូល រួចដំណើរការវា។
កូដបានថតចម្លង (copied) clipboard downloads និងប្រតិបត្តិការ PowerShell Script ដែលចុងក្រោយដោនឡូត ZIP file នៅឯ http://openline.cyou។ ឯកសារ Zip file នេះមានផ្ទុកឯកសារជាច្រើនរួមមាន identity-helper.exe[VirusTotal] ដែលសរសេរនៅលើ VirusTotal បង្ហាញថាវាប្រហែលជា Cobalt Strike loader។ Cobalt Strike គឺជា Tool ជ្រៀតចូលដែលប្រើដោយហេគឃ័រសម្រាប់បង្កើនដំណើរការពីចម្ងាយសម្រាប់កុំព្យូទ័រ និងបណ្តាញណិតវើកដែលមានវត្តមានមេរោគ។ ប្រភេទនៃការចម្លងទាំងនេះជាទូទៅ និងជាសកម្មភាពកើតមុនការវាយប្រហាររបស់មេរោគចាប់ជម្រិត រួមទាំងការលួចទិន្នន័យ។ ភាសាដែលបានប្រើតាមរយៈដំណើរការនៃការផ្ទៀងផ្ទាត់នេះត្រូវបានជ្រើសរើសដោយប្រុងប្រយ័ត្ន ដើម្បីជៀសវាងការសង្ស័យ និងរក្សាការផ្ទៀងផ្ទាត់ដែលក្លែងបន្លំនោះ។ អ្នកប្រើប្រាស់មិនគួរប្រើការថតចម្លង (copy) តាមអនឡាញនៅក្នុង Window ‘Run’ dialog ឬ PowerShell terminal ទេ។ ប្រសិនបើមិនច្បាស់អំពីអ្វីដែលអ្នកថតចម្លងនៅលើ Clipboard របស់អ្នកនោះ សូម Patch វានៅលើ Text Reader រួចវិភាគ Contents របស់វាជាមួយនឹងភាពស្មុគស្មាញរបស់វាទុកចំណាំជាមុនសិន។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២២ ខែមករា ឆ្នាំ២០២៥
