ប្រយ័ត្ន! មេរោគ Silverfox ក្លែងខ្លួនជា «កម្មវិធីឧបត្ថម្ភជនកម្ពុជា» កំពុងរីករាលដាលលើ Telegram
សេចក្តីផ្តើម
ថ្មីៗនេះ មានឯកសារមួយឈ្មោះ «កម្មវិធីឧបត្ថម្ភជនកម្ពុជា_pdf.z» កំពុងត្រូវបាន forward គ្នាយ៉ាងច្រើនលើ Telegram។ វាមើលទៅដូចជាឯកសារ PDF ជំនួយពីរដ្ឋាភិបាល ប៉ុន្តែតាមពិត វាជាមេរោគ (malware) ដ៏គ្រោះថ្នាក់ដែលអាចលួចយកព័ត៌មាន និងគ្រប់គ្រងកុំព្យូទ័ររបស់អ្នក។ ក្រុមការងារ Noobie GMK បានធ្វើការវិភាគលើឯកសារនេះ (ដោយមិន run មេរោគ) ដើម្បីព្រមានបងប្អូន និងបង្ហាញពីរបៀបការពារខ្លួន។
.z / .exe ស្រដៀងគ្នា សូមលុបចោលភ្លាម ហើយកុំ forward បន្តទៅអ្នកដទៃ។
តើមេរោគនេះបញ្ឆោតយើងយ៉ាងដូចម្តេច?
អ្នកវាយប្រហារ (hacker) ប្រើល្បិចផ្លូវចិត្ត (social engineering) ដោយដាក់ឈ្មោះឯកសារឲ្យមើលទៅដូចជាកម្មវិធីជំនួយពីរដ្ឋ ដើម្បីទាក់ទាញឲ្យបងប្អូនចង់បើកមើល។ តែនេះជាការបោកប្រាស់ ៣ ស្រទាប់៖
- ស្រទាប់ទី ១ — ឈ្មោះឯកសារបញ្ឆោត៖ ឯកសារឈ្មោះបញ្ចប់ដោយ
_pdf.zធ្វើឲ្យអ្នកគិតថាជា PDF។ តាមពិត.zគឺជាឯកសារបង្ហាប់ (RAR archive) មិនមែន PDF ទេ។ - ស្រទាប់ទី ២ — ឯកសារខាងក្នុងជាកម្មវិធី (.exe)៖ ពេលបំបែកចេញ ខាងក្នុងមានឯកសារ
.pdf.exeដែលជាកម្មវិធី Windows មិនមែនឯកសារ PDF។ វាក៏គ្មានហត្ថលេខាឌីជីថល (unsigned) ដែលបញ្ជាក់ថាមិនមែនកម្មវិធីរដ្ឋពិត។ - ស្រទាប់ទី ៣ — ការតម្រង់គោលដៅ (geo-gate)៖ មេរោគនេះពិនិត្យភាសាកុំព្យូទ័ររបស់អ្នកមុននឹងវាយប្រហារ ដើម្បីត្រូវប្រាកដថាកំពុងវាយប្រហារនៅតំបន់គោលដៅ (រួមទាំងកម្ពុជា)។
តើមេរោគនេះធ្វើអ្វីខ្លះពេលចូលកុំព្យូទ័រ?
នៅពេលបើកឯកសារនេះ វាដំឡើងមេរោគ Trojan ប្រភេទ Silverfox ដែលធ្វើសកម្មភាពគ្រោះថ្នាក់ដូចខាងក្រោម៖
- 🔓 បិទ Windows Defender — មេរោគបន្ថែម exclusion ដើម្បីធ្វើឲ្យ antivirus របស់ Windows លែងស្គាល់វា។
- 📡 តភ្ជាប់ទៅ server អ្នកវាយប្រហារ (C2) — វាភ្ជាប់ទៅ domain
babyy2.comដើម្បីទទួលពាក្យបញ្ជា និងបញ្ជូនទិន្នន័យរបស់អ្នកចេញ។ - 🕵️ ចូលមើល process និង network — វារាយបញ្ជីកម្មវិធីកំពុងដំណើរការ អាចលុប services និងតាមដានសកម្មភាពរបស់អ្នក (Backdoor / Loader)។
- 🗑️ លុបខ្លួនឯង (self-delete) — ក្រោយពីដំឡើងរួច វាលុបដាននៃឯកសារដើម ដើម្បីលាក់មិនឲ្យរកឃើញ។
Trojan-Dropper.Win32.Silverfox។🛡️ វិធីការពារខ្លួនអ្នក ៧ ចំណុច
- កុំបើកឯកសារ .z, .exe, .scr, .apk ដែលផ្ញើ ឬ forward មកតាម Telegram / Messenger ទោះបីមកពីមិត្តភក្តិក៏ដោយ — គណនីមិត្តអ្នកអាចត្រូវលួច។
- ពិនិត្យផ្នែកបញ្ចប់ (extension) ឯកសារ — ឯកសារ PDF ពិតបញ្ចប់ដោយ
.pdfប៉ុណ្ណោះ។ បើឃើញ_pdf.zឬ.pdf.exeនោះជាមេរោគ។ - បើក «Show file extensions» នៅក្នុង Windows ដើម្បីមើលឃើញ extension ពិតរបស់ឯកសារ ការពារកុំឲ្យត្រូវបញ្ឆោត។
- កុំបិទ Windows Defender ឬ antivirus ហើយ update វាឲ្យទាន់សម័យជានិច្ច។ បើកម្មវិធីស្នើសុំឲ្យបិទ antivirus នោះជាសញ្ញាមេរោគ។
- ទាញយកកម្មវិធីរដ្ឋ ឬ app ផ្លូវការ តែពី website ផ្លូវការ ឬ App Store / Play Store ប៉ុណ្ណោះ — មិនមែនតាម Telegram ទេ។
- បើកការផ្ទៀងផ្ទាត់ 2 ជាន់ (2FA) លើ Facebook, Telegram, Gmail ដើម្បីការពារគណនី ទោះបីលេខសម្ងាត់ត្រូវលួច។
- បើសង្ស័យថាឆ្លងមេរោគ៖ ផ្តាច់ internet ភ្លាម ដូរលេខសម្ងាត់ទាំងអស់ពីឧបករណ៍ស្អាតមួយផ្សេង ហើយ scan ដោយ antivirus ឬ reset Windows ឡើងវិញ។
.z ឬ .exe តាម Telegram ទេ។ រាល់ពេលមានការសង្ស័យ សូមកុំចុច ហើយសួរនរណាម្នាក់ដែលចេះបច្ចេកទេសជាមុនសិន។
ព័ត៌មានបច្ចេកទេស (Indicators of Compromise)
សម្រាប់អ្នកបច្ចេកទេស ខាងក្រោមនេះជាសញ្ញាសម្គាល់មេរោគ (IOC) ដែលអាចប្រើដើម្បី block ឬ detect៖
| ប្រភេទ | តម្លៃ |
|---|---|
| ឈ្មោះឯកសារ | កម្មវិធីឧបត្ថម្ភជនកម្ពុជា_pdf.z |
| Family | Silverfox (Trojan-Dropper · ValleyRAT-nexus) |
| C2 Domain | babyy2.com |
| C2 IP | 137.220.156.148 (ports 22, 53) |
| SHA-256 (.z) | 50af0fcf6218fb385216e2a1e8f8774a07380a9edb5715083e909264ca0a4018 |
| MITRE ATT&CK | T1566 · T1204 · T1562.001 · T1614.001 · T1070.004 |
"សុវត្ថិភាពអ៊ីនធឺណិតចាប់ផ្តើមពីខ្លួនយើងម្នាក់ៗ។ ការមិនចុចលើឯកសារចម្លែក គឺជាការការពារដ៏ល្អបំផុត។ បើអ្នកបានឃើញអត្ថបទនេះ សូមចែករំលែកទៅមិត្តភក្តិ និងក្រុមគ្រួសារ ដើម្បីកុំឲ្យពួកគាត់ក្លាយជាជនរងគ្រោះ។" — Noobie GMK
ចំណាំ៖ ការវិភាគទាំងអស់ត្រូវបានធ្វើឡើងក្នុងបរិយាកាសសុវត្ថិភាព (static analysis) ដោយមិន run មេរោគ។ អត្ថបទនេះមានគោលបំណងអប់រំ និងការពារសហគមន៍ប៉ុណ្ណោះ។