យុទ្ធនាការមេរោគ FakeUpdate កំពុងតែធ្វើការជាមួយនឹងក្រុមឧក្រិដ្ឋកម្មសាយប័រ ២ផ្សេងទៀតដែលជា TA2726 and TA2727 និងកំពុងធ្វើយុទ្ធនាការជំរុញមេរោគលួចព័ត៌មាន macOS ថ្មីឈ្មោះ FrigidStealer។មេរោគថ្មីត្រូវបានបញ្ជូនទៅកាន់អ្នកប្រើប្រាស់ Mac ប៉ុន្តែយុទ្ធនាការដូចគ្នានេះក៏ប្រើ Windows រួមទាំង Android Payloads សម្រាប់ពង្រីកនូវវិសាលភាពនៃគោលដៅដែរ។ យុទ្ធនាការថ្មីត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវនៅ Proofpoint ដែលកត់សម្គាល់ថា JavaScript ព្យាបាទបានបង្ហាញ សារធ្វើបច្ចុប្បន្នភាព Browser ក្លែងក្លាយ ដែលកំពុងតែពេញនិយមក្នុងការប្រើប្រាស់ពីសំណាក់ហេគឃ័រជាច្រើន ដែលធ្វើឱ្យការតាមដាន និងការវិភាគកាន់តែលំបាក។
នៅក្នុងយុទ្ធនាការ TA2726 and TA2727 ធ្វើការជាមួយគ្នា ជាមួយនឹងអតីតអ្នកចែកចាយចរាចរណ៍ និងអ្នកសម្របសម្រួល ហើយចុងក្រោយជាអ្នកចែកចាយមេរោគ។ ក្រុម TA2726 បានចាប់ផ្តើមដំណើរការតាំងពីខែកញ្ញា ឆ្នាំ២០២២ ដោយក្រុមនេះលក់ចរាចរណ៍ទៅឱ្យឧក្រិដ្ឋជនសាយប័រផ្សេងទៀត។ ជាទូទៅ វាជំរុញ Keitaro TDS ដែលត្រូវបានកេងចំណេញយ៉ាងទូលំទូលាយលើសេវាចែកចាយចរាចរណ៍ស្របច្បាប់។ រីឯក្រុម TA2727 គឺជាក្រុមគំរាមកំហែងដែលជំរុញដោយហិរញ្ញវត្ថុត្រូវបានកំណត់អត្តសញ្ញាណដំបូងនៅខែមករា ឆ្នាំ២០២៥ ដោយបានដាក់ពង្រាយមេរោគលួចព័ត៌មាន Lumma សម្រាប់ Windows មេរោគ Marcher សម្រាប់ Android និងមេរោគ FrigidStealer សម្រាប់ macOS។
យុទ្ធនាការធ្វើបច្ចុប្បន្នភាពក្លែងក្លាយថ្មី៖ យុទ្ធនាការធ្វើបច្ចុប្បន្នភាពក្លែងក្លាយគឺជាពេលដែលហេគឃ័របំពានលើគេហទំព័រ និងចាក់បញ្ចូល JavaScript ព្យាបាទចូលទៅក្នុង HTML របស់ Web Pages ដែលបង្ហាញការជូនដំណឹងក្លែងក្លាយថា អ្នកប្រើប្រាស់ត្រូវការដំឡើងបច្ចុប្បន្នភាព Browser។ Web ទាំងនេះបានចាក់បញ្ចូល Profile Website Visitors តាមរយៈ TDS (ប្រព័ន្ធចែកចាយចរាចរណ៍) និងជនរងគ្រោះដែលជាគោលដៅសម្រាប់ការចម្លងមេរោគដោយផ្អែកលើទីតាំង ឧបករណ៍ និងប្រព័ន្ធប្រតិបត្តិការ ព្រមទាំង Browser Type របស់ពួកគេ។ ពីទស្សនៈរបស់អ្នកប្រើប្រាស់ ការដាស់តឿនបានលេចចេញពីក្រុមហ៊ុន Google ឬ Safari ថា ការធ្វើបច្ចុប្បន្នភាព Browsers ត្រូវបានដំឡើងសម្រាប់ត្រួតពិនិត្យគេហទំព័រ។ ទោះជាយ៉ាងណា ការចុចលើ “Update” Button បានបណ្តាលឱ្យប្រតិបត្តិករព្យាបាទបន្លំជាធ្វើបច្ចុប្បន្នភាពដែលតម្រូវឲ្យមានការដោនឡូត។
អ្នកប្រើប្រាស់ Windows ទទួលបានអ្នកដំឡើង MSI និងលោតបង្ហាញ Lumma Stealer ឬ DeerStrealer ចំណែកឯអ្នកប្រើប្រាស់ Mac ទទួលបានឯកសារ DMG ថាបានដំឡើងមេរោគ FrigidStreater ថ្មី និងអ្នកប្រើប្រាស់ Andorid ទទួបាន APK File ដែលមានផ្ទុកមេរោគលួចធនាគារឈ្មោះ Marcher។ អ្នកប្រើ Mac គួតែដាក់ចេញនូវការដោនឡូតដោយការចុច Right-Click នៅលើឯកសារ និងបន្ទាប់មកជ្រើសរើសយក Open ជាទីតាំងដែលពួកគេនឹងត្រូវបានសួរឱ្យបញ្ចូលលេខសម្ងាត់របស់ពួកគេដើម្បីទទួលបានការការពារ macOS Gatekeeper។
មេរោគ FrigidStealer មានគោលដៅលើ macOS៖ មេរោគ FrigidStealer គឺជាមេរោគដែលមានមូលដ្ឋានលើកម្មវិធី Go ត្រូវបានបង្កើតឡើងជាមួយនឹង WailsIO framework សម្រាប់ធ្វើឱ្យអ្នកដំឡើងបង្ហាញថាស្របច្បាប់ ដូច្នេះគ្មានការសង្ស័យកើតឡើងនៅពេលចម្លងមេរោគនោះទេ។ មេរោគទាញយក Saved Cookies អត្តសញ្ញាណនៃការ Log In និងឯកសារដែលទាក់ទងនឹងលេខសម្ងាត់ ដែលរក្សាទុកនៅក្នុង Safari ឬ Chrome នៅលើ macOS។ ទោះជាយ៉ាងណា មេរោគនេះស្គេនរកអត្តសញ្ញាណកាបូបគ្រីបតូដែលរក្សាទុកនៅក្នុង MacOS Desktop និង Documents Folders វាអាចអាននិងទាញយក Apple Notes ដែលមានផ្ទុកលេខសម្ងាត់ ព័ត៌មានហិរញ្ញវត្ថុ ឬព័ត៌មានលម្អិតសំខាន់ៗផ្សេងទៀត និងប្រមូលឯកសារ Spreadsheets រួមទាំង Text files ចេញពី Home Directory របស់អ្នកប្រើប្រាស់។ ទិន្នន័យដែលត្រូវបានលួច ត្រូវបានលាក់នៅក្នុង Folder នៅក្នុង Home Directory របស់អ្នកប្រើប្រាស់ ដែលត្រូវបានគ្រប់គ្រងដោយការកេញចំណេញ និងចុងក្រោយផ្ញើចេញទៅកាន់អាសយដ្ឋានដែលបញ្ជានិងគ្រប់គ្រង (C2) របស់មេរោគនៅ ‘askforupdate.org’។
យុទ្ធនាការលួចព័ត៌មានបានក្លាយជាប្រតិបត្តិការសកលដ៏ធំក្នុងរយៈពេលពីរបីឆ្នាំនេះ ដែលបណ្តាលឱ្យមានការវាយប្រហារលើអ្នកប្រើប្រាស់តាមផ្ទះ និងស្ថាប័នជាច្រើន។ ការវាយប្រហារទាំងនេះជាទូទៅឈានដល់ការឆបោកផ្នែកហិរញ្ញវត្ថុ គ្រោះថ្នាក់ដល់ឯកជនភាព ការលាតត្រដាងទិន្នន័យ ជម្រិតទារប្រាក់ និងការវាយប្រហារដោយមេរោគចាប់ជម្រិតពេញលេញ (full-blown ransomware)។ ដើម្បីជៀសវាងពីការចម្លងមេរោគលួចព័ត៌មាន សូមអ្នកកុំប្រើប្រាស់ Commands ឬដោនឡូតចេញពីគេហទំព័រ ជាពិសេសគេហទំព័រដែលអះអាងពីការជួសជុល ធ្វើបច្ចុប្បន្នភាព ឬកម្មវិធី Captchas។ សម្រាប់អ្នកដែលបានឆ្លងមេរោគលួចព័ត៌មាន អ្នកត្រូវប្តូរលេខសម្ងាត់គ្រប់គេហទំព័រទាំងអស់ដែលអ្នកមានគណនី ជាពិសេសចំពោះអ្នកប្រើប្រាស់លេខសម្ងាត់ដូចគ្នានៅលើគេហទំព័រចម្រុះ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៩ ខែកុម្ភៈ ឆ្នាំ២០២៥
