ផ្នែកបន្ថែម Chrome របស់ CrashFix

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការសកម្មមួយ ដែលមានឈ្មោះថា KongTuke ដែលរំលោភបំពានលើផ្នែកបន្ថែម Google Chrome ដែលមានគំនិតអាក្រក់ ដែលធ្វើពុតជាកម្មវិធីទប់ស្កាត់ការផ្សាយពាណិជ្ជកម្ម។ ផ្នែកបន្ថែមនេះត្រូវបានរចនាឡើងដើម្បីធ្វើឲ្យកម្មវិធីរុករកគាំងដោយចេតនា និងរៀបចំជនរងគ្រោះឱ្យប្រតិបត្តិពាក្យបញ្ជាដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារតាមរយៈវិស្វកម្មសង្គមបែប ClickFix។ ការវិវត្តចុងក្រោយបំផុតនៃបច្ចេកទេសនេះត្រូវបានគេដាក់ឈ្មោះកូដថា CrashFix ហើយនៅទីបំផុតបានបញ្ជូនមេរោគ Trojan ចូលប្រើពីចម្ងាយដែលពីមុនមិនមានឯកសារ ដែលគេស្គាល់ថា ModeloRAT។

KongTuke ដែលត្រូវបានតាមដានផងដែរថាជា 404 TDS, Chaya_002, LandUpdate808 និង TAG-124 ដំណើរការជាប្រព័ន្ធចែកចាយចរាចរណ៍ (TDS)។ វាកំណត់ទម្រង់បរិស្ថានជនរងគ្រោះ និងប្តូរទិសគោលដៅដែលបានជ្រើសរើសទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធចែកចាយបន្ទុកដែលមានគំនិតអាក្រក់។ ការចូលប្រើម៉ាស៊ីនដែលឆ្លងមេរោគត្រូវបានលក់ ឬផ្ទេរទៅអ្នកគំរាមកំហែងផ្សេងទៀត រួមទាំងប្រតិបត្តិករ ransomware ដើម្បីឱ្យមានការសម្របសម្រួលដំណាក់កាលទីពីរ។

ក្រុមគំរាមកំហែងដែលធ្លាប់ត្រូវបានគេសង្កេតឃើញពីមុនបានទាញយកអត្ថប្រយោជន៍ពីហេដ្ឋារចនាសម្ព័ន្ធ TAG-124 រួមមាន Rhysida ransomware, Interlock ransomware និង TA866 (Asylum Ambuscade)។ សកម្មភាពនេះក៏ត្រូវបានភ្ជាប់ទៅនឹង SocGholish និង D3F@ck Loader ផងដែរ នេះបើយោងតាមរបាយការណ៍ខែមេសា ឆ្នាំ២០២៥។

ពី Chrome Web Store ទៅកាន់ Compromise

នៅក្នុងខ្សែសង្វាក់នៃការឆ្លងមេរោគដែលបានចងក្រងជាឯកសារ ជនរងគ្រោះបានស្វែងរកកម្មវិធីទប់ស្កាត់ការផ្សាយពាណិជ្ជកម្មតាមអ៊ីនធឺណិត ហើយត្រូវបានផ្សព្វផ្សាយការផ្សាយពាណិជ្ជកម្មព្យាបាទដែលបានបញ្ជូនបន្តពួកគេទៅកាន់ផ្នែកបន្ថែមកម្មវិធីរុករកដែលបង្ហោះដោយផ្ទាល់នៅលើ Chrome Web Store ផ្លូវការ។

ផ្នែកបន្ថែមនេះ ដែលមានឈ្មោះថា 'NexShield – Advanced Web Guardian' (លេខសម្គាល់៖ cpcdkmjddocikjdkbbeiaafnpdbdafmi) បានបង្ហាញខ្លួនជា 'ខែលការពារភាពឯកជនចុងក្រោយ' ដែលអះអាងថារារាំងការផ្សាយពាណិជ្ជកម្ម កម្មវិធីតាមដាន មេរោគ និងខ្លឹមសារគេហទំព័រដែលរំខាន។ មុនពេលលុបវាចេញ វាត្រូវបានទាញយកយ៉ាងហោចណាស់ 5,000 ដង។

តាមបច្ចេកទេស ផ្នែកបន្ថែមនេះគឺជាច្បាប់ចម្លងស្ទើរតែដូចគ្នាបេះបិទនៃផ្នែកបន្ថែមទប់ស្កាត់ការផ្សាយពាណិជ្ជកម្មស្របច្បាប់មួយ។ ទោះជាយ៉ាងណាក៏ដោយ នៅក្រោមចំណុចប្រទាក់ដែលធ្លាប់ស្គាល់ វាត្រូវបានរចនាឡើងដើម្បីបង្ហាញការព្រមានសុវត្ថិភាពក្លែងក្លាយដែលបញ្ជាក់ថាកម្មវិធីរុករកបាន "ឈប់ដំណើរការមិនប្រក្រតី" ហើយជំរុញឱ្យអ្នកប្រើប្រាស់ចាប់ផ្តើមការស្កេនក្លែងក្លាយដែលសន្មតថាភ្ជាប់ទៅនឹង Microsoft Edge។

វិស្វកម្ម​ពី​ការ​ធ្លាក់​ចុះ​ទៅ​ជា​ការ​ផលិត​ដែល​មាន​ទំនុក​ចិត្ត

ប្រសិនបើអ្នកប្រើប្រាស់ចុចដើម្បីដំណើរការការស្កេន ផ្នែកបន្ថែមបង្ហាញការណែនាំដើម្បីបើកប្រអប់ Windows Run ហើយប្រតិបត្តិពាក្យបញ្ជាដែលត្រូវបានចម្លងទៅ clipboard រួចហើយ។ ដរាបណារឿងនេះកើតឡើង ផ្នែកបន្ថែមបានបើកដំណើរការទម្លាប់បដិសេធសេវាកម្មដោយចេតនា ដែលបង្កើតការតភ្ជាប់ច្រកពេលដំណើរការគ្មានទីបញ្ចប់តាមរយៈរង្វិលជុំគ្មានកំណត់ ដោយធ្វើជំហានដដែលៗរហូតដល់មួយពាន់លានដង។

ការអស់ធនធាននេះបណ្តាលឱ្យមានការប្រើប្រាស់អង្គចងចាំច្រើនពេក ដែលធ្វើឱ្យកម្មវិធីរុករកយឺត មិនឆ្លើយតប និងនៅទីបំផុតបង្ខំឱ្យមានការគាំង។ អស្ថិរភាពដោយចេតនាមិនមែនជាផលប៉ះពាល់ទេ វាគឺជាកត្តាជំរុញឱ្យមានការវិវត្តនៃវិស្វកម្មសង្គម។

នៅពេលដំឡើងរួច ផ្នែកបន្ថែមនេះបានបញ្ជូនឧបករណ៍កំណត់អត្តសញ្ញាណតែមួយគត់ទៅកាន់ម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារនៅ nexsnield[.]com ដែលអាចឱ្យមានការតាមដានជនរងគ្រោះ។ សកម្មភាពព្យាបាទត្រូវបានពន្យារពេលរយៈពេល 60 នាទីបន្ទាប់ពីដំឡើងរួច បន្ទាប់ពីនោះវាបានប្រតិបត្តិឡើងវិញរៀងរាល់ 10 នាទីម្តង។

មុនពេលចាប់ផ្តើមទម្លាប់ DoS ផ្នែកបន្ថែមបានរក្សាទុកត្រាពេលវេលានៅក្នុងការផ្ទុកក្នុងស្រុក។ នៅពេលដែលអ្នកប្រើប្រាស់បង្ខំឱ្យចាកចេញ ហើយចាប់ផ្តើមកម្មវិធីរុករកឡើងវិញ កម្មវិធីដោះស្រាយការចាប់ផ្តើមដំណើរការបានពិនិត្យតម្លៃនេះ។ ប្រសិនបើមាន បង្អួចលេចឡើង CrashFix បានលេចឡើង ហើយបន្ទាប់មកបានលុបត្រាពេលវេលា ដែលបង្កើតការបំភាន់ថាការព្រមាននេះគឺជាផលវិបាកនៃការគាំងជាជាងមូលហេតុរបស់វា។

ទម្លាប់ DoS ត្រូវបានប្រតិបត្តិលុះត្រាតែលក្ខខណ្ឌបីត្រូវបានបំពេញ៖ UUID របស់ជនរងគ្រោះមាន ម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យបានឆ្លើយតបដោយជោគជ័យ ហើយបង្អួចលេចឡើងត្រូវបានបើក និងបិទយ៉ាងហោចណាស់ម្តង។ តក្កវិជ្ជានេះបង្ហាញយ៉ាងច្បាស់ថាប្រតិបត្តិករចង់បញ្ជាក់ពីអន្តរកម្មរបស់អ្នកប្រើប្រាស់មុនពេលធ្វើឱ្យរង្វិលជុំ payload សកម្មទាំងស្រុង។

លទ្ធផលគឺជាវដ្តដែលអាចទ្រទ្រង់ខ្លួនឯងបាន។ រាល់ការចាប់ផ្តើមឡើងវិញដោយបង្ខំបន្ទាប់ពីការបង្កកបានបង្កឱ្យមានការព្រមានក្លែងក្លាយឡើងវិញ។ ប្រសិនបើផ្នែកបន្ថែមនៅតែត្រូវបានដំឡើង ឥរិយាបថគាំងនឹងបន្តបន្ទាប់ពីដប់នាទី។

ការបំភាន់ ការប្រឆាំងការវិភាគ និងការរស់នៅក្រៅដី

បង្អួចលេចឡើងក្លែងក្លាយបានអនុវត្តវិធានការប្រឆាំងការវិភាគជាច្រើន ដោយបិទម៉ឺនុយបរិបទចុចកណ្ដុរខាងស្ដាំ និងរារាំងផ្លូវកាត់ក្តារចុចដែលជាធម្មតាប្រើដើម្បីចូលប្រើឧបករណ៍អ្នកអភិវឌ្ឍន៍។

ពាក្យបញ្ជា CrashFix បានរំលោភបំពានឧបករណ៍ប្រើប្រាស់ Windows finger.exe ស្របច្បាប់ ដើម្បីទាញយក និងប្រតិបត្តិ payload ដំណាក់កាលទីពីរពី 199.217.98[.]108។ ការប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ Finger របស់ KongTuke ពីមុនត្រូវបានកត់ត្រាទុកនៅក្នុងខែធ្នូ ឆ្នាំ 2025។

បន្ទុកទិន្នន័យដែលបានទាញយកគឺជាពាក្យបញ្ជា PowerShell ដែលទាញយកស្គ្រីបបន្ថែម ដែលលាក់បាំងខ្លឹមសាររបស់វាតាមរយៈស្រទាប់ជាច្រើននៃការអ៊ិនកូដ Base64 និងប្រតិបត្តិការ XOR ដែលឆ្លុះបញ្ចាំងពីបច្ចេកទេសដែលជាប់ទាក់ទងជាយូរមកហើយជាមួយយុទ្ធនាការ SocGholish។

នៅពេលដែលឌិគ្រីបរួចរាល់ ស្គ្រីបបានស្កេនដំណើរការសកម្មសម្រាប់ឧបករណ៍វិភាគដែលគេស្គាល់ជាង 50 និងសូចនាករម៉ាស៊ីននិម្មិត ហើយបញ្ចប់ភ្លាមៗប្រសិនបើមានឧបករណ៍ណាមួយត្រូវបានរកឃើញ។ វាក៏បានវាយតម្លៃថាតើប្រព័ន្ធនេះត្រូវបានភ្ជាប់ជាមួយដែន ឬជាផ្នែកមួយនៃក្រុមការងារឯករាជ្យ បន្ទាប់មកបានផ្ញើសំណើ HTTP POST ត្រឡប់ទៅម៉ាស៊ីនមេដូចគ្នាដែលមាន៖

• បញ្ជីផលិតផលកំចាត់មេរោគដែលបានដំឡើង
• ទង់ចំណាត់ថ្នាក់ម៉ាស៊ីន៖ 'ABCD111' សម្រាប់ប្រព័ន្ធឯករាជ្យ និង 'BCDA222' សម្រាប់ម៉ាស៊ីនដែលភ្ជាប់ជាមួយដែន

ModeloRAT៖ រចនាឡើងសម្រាប់បរិយាកាសសាជីវកម្ម

ប្រសិនបើប្រព័ន្ធដែលឆ្លងមេរោគត្រូវបានកំណត់ថាបានចូលរួមដែន (domain-joined) ខ្សែសង្វាក់នៃការឆ្លងមេរោគនឹងឈានដល់ចំណុចកំពូលដោយការដាក់ពង្រាយ ModeloRAT ដែលជាមេរោគ Trojan ចូលប្រើពីចម្ងាយរបស់ Windows ដែលមានមូលដ្ឋានលើ Python។ មេរោគនេះទំនាក់ទំនងតាមរយៈឆានែលដែលបានអ៊ិនគ្រីប RC4 ជាមួយម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យនៅ 170.168.103[.]208 ឬ 158.247.252[.]178។

ModeloRAT បង្កើតភាពស្ថិតស្ថេរតាមរយៈ Windows Registry និងគាំទ្រការប្រតិបត្តិពាក្យបញ្ជា binaries, DLLs, ស្គ្រីប Python និង PowerShell។ វាក៏រួមបញ្ចូលទាំងការគ្រប់គ្រងវដ្តជីវិតដែលភ្ជាប់មកជាមួយផងដែរ ដែលអនុញ្ញាតឱ្យប្រតិបត្តិករធ្វើបច្ចុប្បន្នភាពការផ្សាំពីចម្ងាយ ឬបញ្ចប់វាដោយប្រើពាក្យបញ្ជាដែលឧទ្ទិស។

RAT អនុវត្តយុទ្ធសាស្ត្រ beaconing ច្រើនកម្រិតដែលត្រូវបានរចនាឡើងដើម្បីគេចពីការរកឃើញអាកប្បកិរិយា៖

• ក្រោមលក្ខខណ្ឌធម្មតា វាបញ្ចេញពន្លឺរៀងរាល់ 300 វិនាទីម្តង។
• នៅពេលដែលម៉ាស៊ីនមេប្តូរទៅជារបៀបសកម្ម វានឹងស្ទង់មតិយ៉ាងខ្លាំងនៅចន្លោះពេលដែលអាចកំណត់រចនាសម្ព័ន្ធបាន ដោយកំណត់លំនាំដើមដល់ 150 មិល្លីវិនាទី។
• បន្ទាប់ពីការបរាជ័យនៃការទំនាក់ទំនងចំនួនប្រាំមួយលើកជាប់ៗគ្នា វាឈប់ដំណើរការមកត្រឹមចន្លោះពេល 900 វិនាទីវិញ។
• បន្ទាប់ពីការបរាជ័យតែមួយដង វាព្យាយាមភ្ជាប់ឡើងវិញបន្ទាប់ពី 150 វិនាទី មុនពេលត្រឡប់ទៅពេលវេលាស្តង់ដារវិញ។

តក្កវិជ្ជាសម្របខ្លួននេះអនុញ្ញាតឱ្យ ModeloRAT លាយបញ្ចូលគ្នាទៅក្នុងចរាចរណ៍បណ្តាញ ខណៈពេលដែលនៅតែគាំទ្រអន្តរកម្មរបស់ប្រតិបត្តិករយ៉ាងឆាប់រហ័សនៅពេលចាំបាច់។

យុទ្ធសាស្ត្រឆ្លងពីរផ្លូវ

ខណៈពេលដែលការដាក់ពង្រាយ ModeloRAT លើប្រព័ន្ធដែលភ្ជាប់ជាមួយដែនបង្ហាញយ៉ាងច្បាស់ពីការផ្តោតលើបរិស្ថានសាជីវកម្ម និងការជ្រៀតចូលបណ្តាញកាន់តែស៊ីជម្រៅ ម៉ាស៊ីនដែលឈរតែឯងត្រូវបានបញ្ជូនតាមរយៈលំដាប់ពហុដំណាក់កាលផ្សេងគ្នា។ ក្នុងករណីទាំងនោះ ម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យបានឆ្លើយតបជាចុងក្រោយជាមួយនឹងសារ 'TEST PAYLOAD!!!!' ដែលបង្ហាញថាផ្លូវឆ្លងមេរោគស្របគ្នានេះអាចនៅតែស្ថិតក្រោមការអភិវឌ្ឍ។

រូបភាពធំជាង៖ វិស្វកម្មសង្គមតាមការរចនា

យុទ្ធនាការ CrashFix របស់ KongTuke បង្ហាញពីរបៀបដែលអ្នកគំរាមកំហែងសម័យទំនើបកំពុងកែលម្អវិស្វកម្មសង្គមទៅជារង្វិលជុំត្រួតពិនិត្យដែលត្រូវបានរចនាឡើងយ៉ាងពេញលេញ។ តាមរយៈការក្លែងបន្លំគម្រោងប្រភពបើកចំហដែលគួរឱ្យទុកចិត្ត ធ្វើឱ្យកម្មវិធីរុករកមិនមានស្ថេរភាពដោយចេតនា ហើយបន្ទាប់មកបង្ហាញការជួសជុលក្លែងក្លាយ អ្នកវាយប្រហារបានផ្លាស់ប្តូរការខកចិត្តរបស់អ្នកប្រើប្រាស់ទៅជាការអនុលោមតាម។

ប្រតិបត្តិការនេះបង្ហាញពីរបៀបដែលផ្នែកបន្ថែមកម្មវិធីរុករកតាមអ៊ីនធឺណិត ទីផ្សារដែលគួរឱ្យទុកចិត្ត និងឧបករណ៍រស់នៅក្រៅដីអាចត្រូវបានបញ្ចូលគ្នាទៅជាខ្សែសង្វាក់ឆ្លងមេរោគដែលអាចទ្រាំទ្របាន ដែលវានៅតែបន្តមិនមែនតាមរយៈការលួចលាក់តែម្នាក់ឯងនោះទេ ប៉ុន្តែដោយការរៀបចំជនរងគ្រោះម្តងហើយម្តងទៀតឱ្យបង្កឱ្យមានការវាយប្រហារដោយខ្លួនឯង។