ឧក្រិដ្ឋជនតាមអ៊ិនធឺណិតចែកចាយពពួកមេរោគ malware ursnif ដ៏មានឥទ្ធិពលតាមរយៈ ឯកសារការិយាល័យ ដែលមានស្គ្រីប PowerShell មានលក្ខណៈច្រើនជាន់ល្មមដើម្បីចៀស វាងការត្រួតពិនិត្យផ្នែកសន្តិសុខ។ ursnif គឺជាគ្រួសារក្រុមមេរោគ Trojan មួយដែលធ្វើការវាយលុកបំផ្លិចបំផ្លាញលើបណ្តាញរបស់ជនរងគ្រោះហើយឥឡូវនេះវាប្រើវិធីសាស្ត្រ steganography ដើម្បីលាក់កូដមានគ្រោះថ្នាក់របស់ខ្លួនដើម្បីជៀសវាងការរាវរក។
គេស្គាល់ Ursnif malware ថាជា Gozi ISFB ផ្នែកមួយរបស់ក្រុម Trojan Gozi ដើម ដែលធ្វើឱ្យបែកធ្លាយកូដរបស់ខ្លួននៅលើអ៊ីនធឺរណិតក្នុងឆ្នាំ២០១៤។ បច្ចុប្បន្ននេះ មេរោគ Malware ចែកចាយតាមរយៈសារអេឡិចត្រូនិចដែលមានឯកសារក្លែងក្លាយតាមរយៈការបញ្ជា ទិញបញ្ជាទិញ ប្រើវិក័យប័ត្រ។ យុទ្ធនាការពពួកមេរោគនេះប្រើមធ្យោបាយចែកចាយបន្ទុក ដែលគេស្គាល់រួចហើយមានប្រើឯកសារ Microsoft Excel មានម៉ាក្រូ VBA ដែលមាន គំនិតអាក្រក់។
នៅពេលដែលជនរងគ្រោះកំណត់គោលដៅបើកម៉ាក្រូដំបូងនោះវានឹងត្រួតពិនិត្យលើជនរងគ្រោះដោយប្រើប្រាស់កម្មវិធី MS Office ក្រោយមកវាបញ្ជាមេរោគដើម្បីប្រតិបត្តិ ការ។ ពេលខ្លះមុខងារនៃការលាក់កំបាំងកូដម៉ាក្រូនឹងដំណើរការខ្សែអក្សរជាច្រើន ដែលនឹង ត្រូវបម្លែងទៅជាពាក្យបញ្ជា Powershell ថ្មី។ ស្គ្រីប Powershell ដាក់ពង្រាយដោយកូដម៉ាក្រូ នេះបើយោងតាមការស្រាវជ្រាវរបស់ yoroi បង្ហាញថា “មេរោគព្យាយាមទាញយករូបភាព ហោចណាស់មួយក្នុងចំណោម URL ចំនួនពីរ:
• https: //images2.imgbox [។ ] com / 55 / c4 / rBzwpAzi_o.png
• https: //i.postimg [។ ] cc / PH6QvFvF / mario.png? dl = 1។
រូបភាពជាក់ស្ដែងជាក់ស្តែងមានពាក្យបញ្ជា Powershell ថ្មី។ រូបភាពមេរោគត្រូវបង្កើតឡើង ដោយប្រើស្គ្រីប Invoke-PSImage ដែលបង្កប់ស្គ្រីបទៅជាឯកសារ PNG ។ “ក្រោយមក មេរោគប្រើ usnif ភ្ជាប់ជាមួយពាក្យបញ្ជា និងម៉ាស៊ីនមេបញ្ជារបស់វា ដើម្បីទាញយកការ ព្យាបាទ ដែលនឹងគេបញ្ចូលទៅក្នុងដំណើរការ explorer.exe ហើយម៉ាស៊ីនបម្រើ នឹងផ្ញើទិន្នន័យដែលបានអ៊ិនគ្រីប។ ចុងបញ្ចប់ វាដំណើរការដំណើរការឌីគ្រីប ហើយទិន្ន័យដែល គេលួចនឹងផ្ទុកក្នុងកូនសោចុះឈ្មោះដែលត្រូវកំណត់ដោយមេរោគ។ ”
ដូច្នេះ តាមរយៈការ ប្រើស្គ្រីប Powershell ក្នុង regkey (ដែលបង្ហាញខាងលើ) Ursnif អាចបែងចែកចន្លោះគ្រប់ គ្រាន់សម្រាប់មេរោគដែលមានគ្រោះថ្នាក់របស់វា។ ចុងក្រោយ ទីតាំងដែលមានផ្ទុក payload ចាប់ផ្តើមវាជាដំណើរការស្របច្បាប់តាមរយៈខ្សែស្រឡាយ QueueUserAPCand SleepEx ។ នៅពេលដែល DLL ត្រួតមើលមេរោគទាំងអស់នោះ គេពុំឃើញមានការចាប់យកមេរោគ ហើយម៉ាស៊ីន AV ទាំងអស់បង្ហាញវាថាស្អាត។
គំរូ Ursnif ថ្មី ប្រើបច្ចេកទេសចាក់ APC ដូចគ្នាដើម្បីបង្កើតប្រព័ន្ធទិន្នន័យចុងក្រោយបំផុតរបស់វាទៅក្នុងដំណើរការ explorer.exe រួមជាមួយការលាក់កំបាំង និងបច្ចេកទេស steganography ដើម្បីបិទបាំងឥរិយាបថព្យាបាទ របស់វា។ Ursnif មានសកម្មភាពកាន់តែច្រើន និងរីករាលដាលជាងពីមុន ព្រោះ C2 មិនអាចទាក់ទង បានទេ ប៉ុន្តែការបង្កប់មេរោគនៅតែមានជីវិត ” នេះបើតាមអ្នកស្រាវជ្រាវនិយាយ៕



ប្រភពព័ត៌មាន៖