HijackLoaderកម្មវិធីផ្ទុកមេរោគម៉ូឌុលថ្មី បង្កើតរលកនៅក្នុងពិភពឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត
កម្មវិធីផ្ទុកមេរោគថ្មីហៅថា HijackLoader កំពុងទទួលបានភាពទាក់ទាញក្នុងចំណោមសហគមន៍ឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត ដើម្បីចែកចាយបន្ទុកផ្សេងៗដូចជា DanaBot, SystemBC និង RedLine Stealer ។
អ្នកស្រាវជ្រាវ Zscaler ThreatLabz លោក Nikolaos Pantazopoulos បាននិយាយថា “ទោះបីជា HijackLoader មិនមានលក្ខណៈពិសេសកម្រិតខ្ពស់ក៏ដោយ វាអាចប្រើម៉ូឌុលជាច្រើនសម្រាប់ការបញ្ចូលកូដ និងការប្រតិបត្តិចាប់តាំងពីវាប្រើស្ថាបត្យកម្មម៉ូឌុល ដែលជាលក្ខណៈពិសេសដែលអ្នកផ្ទុកភាគច្រើនមិនមាន” ។
សង្កេតឃើញដំបូងដោយក្រុមហ៊ុនក្នុងខែកក្កដា ឆ្នាំ 2023 មេរោគនេះប្រើបច្ចេកទេសមួយចំនួនដើម្បីហោះហើរនៅក្រោមរ៉ាដា។ នេះពាក់ព័ន្ធនឹងការប្រើ syscalls ដើម្បីគេចពីការត្រួតពិនិត្យពីដំណោះស្រាយសុវត្ថិភាព ដំណើរការត្រួតពិនិត្យដែលភ្ជាប់ជាមួយកម្មវិធីសុវត្ថិភាពដោយផ្អែកលើបញ្ជីប្លុកដែលបានបង្កប់ និងបិទដំណើរការកូដរហូតដល់ 40 វិនាទីនៅដំណាក់កាលផ្សេងៗគ្នា។
វ៉ិចទ័រចូលប្រើដំបូងពិតប្រាកដដែលប្រើដើម្បីជ្រៀតចូលគោលដៅបច្ចុប្បន្នមិនត្រូវបានគេស្គាល់ទេ។ ទោះបីជាយ៉ាងណាក៏ដោយ ទិដ្ឋភាពប្រឆាំងនឹងការវិភាគ កញ្ចប់កម្មវិធីផ្ទុកនៅក្នុងម៉ូឌុលឧបករណ៍សំខាន់ដែលសម្របសម្រួលការបញ្ចូលកូដដែលអាចបត់បែនបាន និងការប្រតិបត្តិដោយប្រើម៉ូឌុលដែលបានបង្កប់។
ការតស៊ូនៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួលត្រូវបានសម្រេចដោយការបង្កើតឯកសារផ្លូវកាត់ (LNK) នៅក្នុងថត Windows Startup ហើយចង្អុលវាទៅការងារ Background Intelligent Transfer Service (BITS) ។
លោក Pantazopoulos បាននិយាយថា “HijackLoader គឺជាឧបករណ៍ផ្ទុកម៉ូឌុលដែលមានបច្ចេកទេសគេចចេញ ដែលផ្តល់នូវជម្រើសនៃការផ្ទុកផ្សេងៗគ្នាសម្រាប់បន្ទុកដែលមានគំនិតអាក្រក់” ។ “លើសពីនេះទៅទៀត វាមិនមានលក្ខណៈពិសេសកម្រិតខ្ពស់ទេ ហើយគុណភាពនៃកូដគឺអន់។”
ការលាតត្រដាងនេះកើតឡើងនៅពេលដែល Flashpoint បានបង្ហាញព័ត៌មានលម្អិតនៃកំណែអាប់ដេតនៃមេរោគលួចព័ត៌មានដែលគេស្គាល់ថាជា RisePro ដែលត្រូវបានចែកចាយពីមុនតាមរយៈសេវាកម្មទាញយកមេរោគដែលមានតម្លៃថ្លៃក្នុងមួយការដំឡើង (PPI) ដែលមានឈ្មោះថា PrivateLoader ។
Flashpoint បានកត់សម្គាល់ថា “អ្នកលក់បានអះអាងនៅក្នុងការផ្សាយពាណិជ្ជកម្មរបស់ពួកគេថាពួកគេបានយកទិដ្ឋភាពដ៏ល្អបំផុតនៃ ‘RedLine’ និង ‘Vidar’ ដើម្បីធ្វើជាអ្នកលួចដ៏មានឥទ្ធិពល។ “ហើយលើកនេះ អ្នកលក់ក៏សន្យានូវអត្ថប្រយោជន៍ថ្មីសម្រាប់អ្នកប្រើប្រាស់ RisePro ផងដែរ៖ អតិថិជនបង្ហោះបន្ទះផ្ទាល់ខ្លួនរបស់ពួកគេ ដើម្បីធានាថាកំណត់ហេតុមិនត្រូវបានលួចដោយអ្នកលក់។”
RisePro ដែលសរសេរក្នុង C++ ត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានរសើបនៅលើម៉ាស៊ីនដែលមានមេរោគ ហើយបញ្ចូនវាទៅម៉ាស៊ីនមេបញ្ជា និងបញ្ជា (C&C) ក្នុងទម្រង់ជាកំណត់ហេតុ។ វាត្រូវបានផ្តល់ជូនដំបូងសម្រាប់លក់ក្នុងខែធ្នូ ឆ្នាំ 2022។
វាក៏ធ្វើតាមការរកឃើញរបស់អ្នកលួចព័ត៌មានថ្មីដែលសរសេរក្នុង Node.js ដែលត្រូវបានខ្ចប់ចូលទៅក្នុងកម្មវិធីដែលអាចប្រតិបត្តិបាន និងចែកចាយតាមរយៈកម្មវិធីផ្សាយពាណិជ្ជកម្ម Facebook ដែលមានប្រធានបទធំ (LLM) និងគេហទំព័រក្លែងក្លាយដែលក្លែងបន្លំជាកម្មវិធីនិពន្ធវីដេអូ CapCut របស់ ByteDance ។
អ្នកស្រាវជ្រាវសន្តិសុខ Jaromir Horejsi បាននិយាយថា “នៅពេលដែលអ្នកលួចត្រូវបានប្រតិបត្តិ វាដំណើរការមុខងារចម្បងរបស់វា ដែលលួច cookies និង credentials ពី web browsers ដែលមានមូលដ្ឋានលើ Chromium ជាច្រើន បន្ទាប់មក exfiltrate ទិន្នន័យទៅកាន់ C&C server និង Telegram bot”។
“វាក៏ជាវអតិថិជនទៅម៉ាស៊ីនមេ C&C ដែលកំពុងដំណើរការ GraphQL ។ នៅពេលម៉ាស៊ីនមេ C&C ផ្ញើសារទៅអតិថិជន មុខងារលួចនឹងដំណើរការម្តងទៀត។” កម្មវិធីរុករកគោលដៅរួមមាន Google Chrome, Microsoft Edge, Opera (និង OperaGX) និង Brave ។
នេះជាលើកទីពីរហើយដែលគេហទំព័រក្លែងក្លាយ CapCut ត្រូវបានគេសង្កេតឃើញផ្តល់នូវមេរោគលួចចម្លង។ នៅខែឧសភា ឆ្នាំ 2023 Cyble បានរកឃើញខ្សែសង្វាក់វាយប្រហារពីរផ្សេងគ្នាដែលប្រើកម្មវិធីជាការទាក់ទាញដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ដែលមិនសង្ស័យឱ្យដំណើរការ Offx Stealer និង RedLine Stealer ។
ការវិវឌ្ឍន៍នេះគូររូបភាពនៃប្រព័ន្ធអេកូឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលកំពុងវិវឌ្ឍឥតឈប់ឈរ ជាមួយនឹងការឆ្លងពីអ្នកលួចដើរតួជាវ៉ិចទ័រវាយប្រហារដំបូងដែលប្រើដោយអ្នកគំរាមកំហែងដើម្បីជ្រៀតចូលអង្គការ និងធ្វើសកម្មភាពក្រោយការកេងប្រវ័ញ្ច។
ដូច្នេះវាមិនមែនជារឿងគួរឱ្យភ្ញាក់ផ្អើលទេដែលតួអង្គគំរាមកំហែងកំពុងលោតឡើងលើ bandwagon ដើម្បីបង្កើតមេរោគថ្មីដែលលួចចម្លងមេរោគដូចជា Prysmax ដែលរួមបញ្ចូលមុខងារកាំបិតកងទ័ពស្វីស ដែលអាចឱ្យអតិថិជនរបស់ពួកគេបង្កើនលទ្ធភាព និងផលប៉ះពាល់របស់ពួកគេ។
Cyfirma បាននិយាយថា “មេរោគដែលមានមូលដ្ឋានលើ Python ត្រូវបានខ្ចប់ដោយប្រើប្រាស់ Pyinstaller ដែលអាចត្រូវបានប្រើដើម្បីចងក្រងកូដព្យាបាទ និងភាពអាស្រ័យទាំងអស់របស់វាទៅជាការប្រតិបត្តិតែមួយ” ។ “ព័ត៌មានដែលលួចមេរោគគឺផ្តោតលើការបិទ Windows Defender រៀបចំការកំណត់របស់វា និងកំណត់រចនាសម្ព័ន្ធការឆ្លើយតបរបស់វាចំពោះការគំរាមកំហែង។”
“វាក៏ព្យាយាមកាត់បន្ថយការតាមដានរបស់វា និងរក្សាគោលជំហរលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ មេរោគនេះហាក់ដូចជាត្រូវបានរចនាយ៉ាងល្អសម្រាប់ការលួចទិន្នន័យ និងការបណ្តេញចេញ ខណៈពេលដែលគេចពីការរកឃើញដោយឧបករណ៍សុវត្ថិភាព ក៏ដូចជាប្រអប់ខ្សាច់ការវិភាគថាមវន្ត។”
ប្រភព៖ thehackernews។