យុទ្ធនាការឆបោកចាយមេរោគ Amadey botnet កំពុងផ្តោតគោលដៅលើអ្នកបង់ពន្ធអាមេរិក។មេរោគ Amadey botnet មានលក្ខណៈថ្មីក្នុងគំរាមគំហែងជាមួយនឹងការបង្ហាញខ្លួនលើកដំបូងនៅដើមឆ្នាំ២០១៩ ។
ព័ត៌មានលម្អិត
យុទ្ធនាការនេះពាក់ព័ន្ធនឹងការផ្ញើអ៊ីមែលដែលដើរតួហាក់ដូចជាវាមានប្រភពមកពីសេវាកម្មចំណូលផ្ទៃក្នុង (IRS) ។
•វាអានថា អ្នកទទួលមានសិទ្ធិទទួលបានសំណងពន្ធ និងផ្តល់ឱ្យជនរងគ្រោះនូវឈ្មោះអ្នកប្រើ និងពាក្យសម្ងាត់។
•នៅពេលជនរងគ្រោះចុចលើប៊ូតុង ‘ចូលខាងស្តាំនៅទីនេះ’ ពួកគេនឹងប្តូរទិសទៅទំព័រ hxxp://yosemitemanagement[.]com/fonts/page5/’
•ជនរងគ្រោះនឹងគេនាំទៅវិបផតថល IRS ក្លែងក្លាយ បន្ទាប់ពីពួកគេបញ្ចូលអត្តសញ្ញាណ ប័ណ្ណដែលមាននៅក្នុងអ៊ីមែល។ វិបផតថលនោះស្នើសុំឱ្យអ្នកប្រើប្រាស់ទាញយកឯកសារចុះហត្ថលេខាលើវាហើយបន្ទាប់មកបញ្ជូនវាមកវិញ ឬបញ្ចូលវាទៅក្នុងវិបផតថលដើម្បីទទួលបានសំណងពន្ធ។ ឯកសារមានឧបករណ៍ចាប់សញ្ញាស្គ្រីបមូលដ្ឋានគ្រឹះនិងទាញយកវានាំឱ្យមានការតំឡើងមេរោគ Amadey botnet។
តើមានអ្វីកើតឡើងបន្ទាប់ពីមានការឆ្លងលើកដំបូង?
នេះបើយោងតាមលោក Milo Salvia មកពីក្រុមហ៊ុន Cofense បង្ហាញថា VBScript ត្រូវបានបំភាន់ និងអ៊ិនគ្រីបយ៉ាងខ្លាំង។ ស្គ្រីបសម្រេចចិត្តដោយខ្លួនឯងបន្ទាប់ពីធ្វើការប្រតិបត្តិ និងទម្លាក់ឯកសារដែលមានឈ្មោះថា ‘ZjOexiPr.exe’ នៅក្នុង C: \ Users \ Byte \ AppData \ Local \ Temp \
•នៅករណីនេះ ការតម្លើងឯកសារដែលអាចប្រតិបត្តិមួយទៀតហៅថា“ kntd.exe” នៅក្នុង C: \ ProgramData \ 0fa42aa593
•ពពួកមេរោគនេះទទួលបានស្ថិរភាពដោយវាស្ថិតនៅក្នុងកន្លែងចុះឈ្មោះវីនដូ។ បន្ទាប់មកវាទាក់ទងម៉ាស៊ីនមេ និងម៉ាស៊ីនបញ្ជារបស់វា។ ព័ត៌មានលម្អិត Amadey ផ្ញើទៅម៉ាស៊ីនមេ C2 របស់ខ្លួនរួមមានប្រព័ន្ធប្រតិបត្តិការ (OS) ប្រព័ន្ធកំចាត់មេរោគ(AN) និងប្រព័ន្ធឈ្មោះ (SN) ។
តើអ្នកគួរតែធ្វើដូចម្តេច?
ក្រុមហ៊ុន Cofense បោះពុម្ពផ្សាយសូចនាករនៃការសម្របសម្រួល (IOCs) ដែលអង្កេតនៅក្នុងការវិភាគរបស់ពួកគេ។ ក្រៅពីការឃ្លាំមើលសូចនាករទាំងនេះនៅក្នុងប្រព័ន្ធរបស់អ្នកនោះ អ្នកប្រើប្រាស់គួរតែប្រុងប្រយ័ត្នក្នុងការបើកអ៊ីម៉ែល និងទាញយកឯកសារដែលមានតំណភ្ជាប់។
https://cyware.com/news/phishing-campaign-targets-us-taxpayers-to-deliver-amadey-botnet-ad107e4f
