ឧក្រិដ្ឋជនអ៊ិនធឺណិតស្ថិតលើមធ្យោបាយក្នុងការផ្សព្វផ្សាយមេរោគ Powload ដោយមានជំនួយពី steganography ដើម្បីចម្លងលើប្រព័ន្ធគោលដៅ។ សកម្មភាពរបស់យុទ្ធនាការចែកចាយចែកចាយមេរោគកើតមានតាំងពីឆ្នាំ២០១៨ តាមរយៈបច្ចេកវិជ្ជាគ្មានឯកសារ និងការប្លន់គណនីអ៊ីម៉េលដើម្បីបញ្ចូនមេរោគលួចព័ត៌មានដូចជា Emotet និង Ursnif ។
ការវាយប្រហារថ្មីៗនេះប្រើបច្ចេកទេស Steganography ដោយអ្នកវាយប្រហារប្តូរពីវិធីសាស្ដ្រវាយប្រហារដោយគ្មានឯកសារ (ទៅចម្លងមេរោគដោយផ្ទាល់) ដោយប្តូរទៅធ្វើបន្ថែមដំណាក់ កាលផ្សេងទៀតដើម្បីបញ្ជូនមេរោគជៀសវាងពីការរកឃើញ។
Steganography ជាវិធីសាស្រ្តមួយដែលអ្នកវាយប្រហារប្រើប្រាស់ដើម្បីលាក់កូដគ្រោះថ្នាក់ ក្នុងរូបភាព ដែលជាទូរទីឧបករណ៍បំពានប្រើដើម្បីលាក់ចរាចរណ៍មរោគ malvertising នេះ។ បច្ចេកទេសនេះជាវិធីសាស្ត្រតែមួយគត់ដែលអ្នកវាយប្រហារប្រើដើម្បីទម្លាក់ និងប្រតិបត្តិមេរោគល្បីឈ្មោះដូចជា Ursnif និង Bebloh គឺ steganography ក្នុងដំណើរការចម្លង។
វិធីសាស្រ្ត Steganography ប្រើដោយមេរោគ Powload
ក្នុងករណីនេះមេរោគ Powload បំពានលើស្គ្រីបដែលអាចរកបានជាសាធារណៈហៅថា (Invoke-PSImage) ដោយវាអាចអាចជួយបញ្ចូលស្គ្រីបគ្រោះថ្នាក់ក្នុងភីកសែលរបស់ឯកសារ PNG ។ ក្រោយមកអ្នកវាយប្រហាររំកិលទៅជិតជនរងគ្រោះតាមរយៈយុទ្ធនាការអ៊ីម៉េល សារ ឥតបានការ ដែលមានឯកសារកូដម៉ាក្រូបង្កប់។ក្នុងករណីនេះ អ្នកវាយប្រហារប្រើបច្ចេកទេសសង្គមសង្គមផ្សេងៗ ដើម្បីល្បួងអ្នកប្រើប្រាស់ឱ្យ ទាញយកឯកសារភ្ជាប់ហើយចុចលើវា។ប្រព័ន្ធឆ្លងនៅពេលដែលជនរងគ្រោះចុចលើឯកសារ PowerShell នឹងដំណើរការហើយទាញយក រូបភាពបង្ហោះលើអ៊ីនធឺណិតដែលមានកូដព្យាបាទ។
រូបភាពដែលមានកូដព្យាបាទ
យោងតាមការស្រាវជ្រាវ Trend Micro បង្ហាញឱ្យពី “វិធីសាស្រ្តសម្រាប់ការរកឃើញក្នុងគម្រូខុសគ្នាពីគំរូដែលយើងបានវិភាគ។ អ្នកខ្លះប្រើពាក្យបញ្ជា PowerShell “Get-Culture” ដើម្បីទទួលបានការកំណត់ក្នុងការកំណត់របស់កុំព្យូទ័រ។ អ្នកផ្សេងទៀតទទួលបានលក្ខណៈ សម្បត្តិ xlCountrySetting (ផ្ដល់ព័ត៌មានអំពីការកំណត់តំបន់បច្ចុប្បន្ន) ក្នុង Excel ដើម្បីកំណត់ទីតាំងរបស់ម៉ាស៊ីនដែលរងផលប៉ះពាល់។ ”
ក្នុងករណីនេះកូដព្យាបាទទទួលបានការប្រតិបត្តិប្រសិនបើទីតាំងម៉ាស៊ីនមេរោគ xlCountrySetting ស្មើកម្រិត ៨១ (ជប៉ុន) ឬ ៨២ (ប្រទេសកូរ៉េ) ។ កត្តានេះអាចសម្រេចដោយប្រើឧបករណ៍ឥតគិតថ្លៃ (hxxp: //ipinfo.io/country) ដើម្បីជំនួយ ក្នុងការត្រឡប់អាសយដ្ឋាន IP ‘ប្រទេស។ ការតាំងចិត្តចម្បងរបស់យុទ្ធនាការនេះគឺដើម្បីលួច ពត៌មានសំខាន់របស់ជនរងគ្រោះ ប៉ុន្តែអ្នកស្រាវជ្រាវជឿជាក់ថា Powload ផ្តល់នូវការចំណាយបន្ថែមទៀតដើម្បីធ្វើការងារដែលមានគ្រោះថ្នាក់ផ្សេងទៀត៕


ប្រភពព័ត៌មាន៖