← ត្រឡប់ទៅអត្ថបទទាំងអស់
🚨 ការព្រមាន 📅 ១២ កក្កដា ២០២៦ 📖 ៨ នាទី

ប្រយ័ត្ន! មេរោគ Silverfox ក្លែងខ្លួនជា «កម្មវិធីឧបត្ថម្ភជនកម្ពុជា» កំពុងរីករាលដាលលើ Telegram

សេចក្តីផ្តើម

ថ្មីៗនេះ មានឯកសារមួយឈ្មោះ «កម្មវិធីឧបត្ថម្ភជនកម្ពុជា_pdf.z» កំពុងត្រូវបាន forward គ្នាយ៉ាងច្រើនលើ Telegram។ វាមើលទៅដូចជាឯកសារ PDF ជំនួយពីរដ្ឋាភិបាល ប៉ុន្តែតាមពិត វាជាមេរោគ (malware) ដ៏គ្រោះថ្នាក់ដែលអាចលួចយកព័ត៌មាន និងគ្រប់គ្រងកុំព្យូទ័ររបស់អ្នក។ ក្រុមការងារ Noobie GMK បានធ្វើការវិភាគលើឯកសារនេះ (ដោយមិន run មេរោគ) ដើម្បីព្រមានបងប្អូន និងបង្ហាញពីរបៀបការពារខ្លួន។

⚠️ កុំចុច (open) ឯកសារនេះ! បើអ្នកទទួលបានឯកសារ «កម្មវិធីឧបត្ថម្ភជនកម្ពុជា_pdf.z» ឬឯកសារ .z / .exe ស្រដៀងគ្នា សូមលុបចោលភ្លាម ហើយកុំ forward បន្តទៅអ្នកដទៃ។
🎬 មើលការវិភាគពេញលេញក្នុងវីដេអូ — Noobie GMK ពន្យល់ជំហានម្តងមួយៗ។
ឯកសារមេរោគ កម្មវិធីឧបត្ថម្ភជនកម្ពុជា_pdf.z ត្រូវបាន forward លើ Telegram
📱 ឯកសារក្លែងក្លាយ «កម្មវិធីឧបត្ថម្ភជនកម្ពុជា_pdf.z» (16.9 MB) ដែលកំពុង forward គ្នាលើ Telegram។ ឈ្មោះ និងរូបអ្នកផ្ញើត្រូវបានលាក់ដើម្បីការពារឯកជនភាព។

តើមេរោគនេះបញ្ឆោតយើងយ៉ាងដូចម្តេច?

អ្នកវាយប្រហារ (hacker) ប្រើល្បិចផ្លូវចិត្ត (social engineering) ដោយដាក់ឈ្មោះឯកសារឲ្យមើលទៅដូចជាកម្មវិធីជំនួយពីរដ្ឋ ដើម្បីទាក់ទាញឲ្យបងប្អូនចង់បើកមើល។ តែនេះជាការបោកប្រាស់ ៣ ស្រទាប់៖

  • ស្រទាប់ទី ១ — ឈ្មោះឯកសារបញ្ឆោត៖ ឯកសារឈ្មោះបញ្ចប់ដោយ _pdf.z ធ្វើឲ្យអ្នកគិតថាជា PDF។ តាមពិត .z គឺជាឯកសារបង្ហាប់ (RAR archive) មិនមែន PDF ទេ។
  • ស្រទាប់ទី ២ — ឯកសារខាងក្នុងជាកម្មវិធី (.exe)៖ ពេលបំបែកចេញ ខាងក្នុងមានឯកសារ .pdf.exe ដែលជាកម្មវិធី Windows មិនមែនឯកសារ PDF។ វាក៏គ្មានហត្ថលេខាឌីជីថល (unsigned) ដែលបញ្ជាក់ថាមិនមែនកម្មវិធីរដ្ឋពិត។
  • ស្រទាប់ទី ៣ — ការតម្រង់គោលដៅ (geo-gate)៖ មេរោគនេះពិនិត្យភាសាកុំព្យូទ័ររបស់អ្នកមុននឹងវាយប្រហារ ដើម្បីត្រូវប្រាកដថាកំពុងវាយប្រហារនៅតំបន់គោលដៅ (រួមទាំងកម្ពុជា)។
Sandbox flagged the file as malicious with a 7 out of 10 threat score
🔬 ការវិភាគក្នុង Sandbox បង្ហាញពិន្ទុគ្រោះថ្នាក់ 7/10 ជាមួយ tag «installer / discovery» — ភស្តុតាងបញ្ជាក់ថាឯកសារនេះមានគ្រោះថ្នាក់។

តើមេរោគនេះធ្វើអ្វីខ្លះពេលចូលកុំព្យូទ័រ?

នៅពេលបើកឯកសារនេះ វាដំឡើងមេរោគ Trojan ប្រភេទ Silverfox ដែលធ្វើសកម្មភាពគ្រោះថ្នាក់ដូចខាងក្រោម៖

  • 🔓 បិទ Windows Defender — មេរោគបន្ថែម exclusion ដើម្បីធ្វើឲ្យ antivirus របស់ Windows លែងស្គាល់វា។
  • 📡 តភ្ជាប់ទៅ server អ្នកវាយប្រហារ (C2) — វាភ្ជាប់ទៅ domain babyy2.com ដើម្បីទទួលពាក្យបញ្ជា និងបញ្ជូនទិន្នន័យរបស់អ្នកចេញ។
  • 🕵️ ចូលមើល process និង network — វារាយបញ្ជីកម្មវិធីកំពុងដំណើរការ អាចលុប services និងតាមដានសកម្មភាពរបស់អ្នក (Backdoor / Loader)។
  • 🗑️ លុបខ្លួនឯង (self-delete) — ក្រោយពីដំឡើងរួច វាលុបដាននៃឯកសារដើម ដើម្បីលាក់មិនឲ្យរកឃើញ។
VirusTotal shows 24 of 70 antivirus vendors flagged the file, identified as Silverfox
🛡️ VirusTotal៖ 24/70 ក្រុមហ៊ុន antivirus បានចាត់ទុកឯកសារនេះជាមេរោគ។ Kaspersky កំណត់អត្តសញ្ញាណថា Trojan-Dropper.Win32.Silverfox

🛡️ វិធីការពារខ្លួនអ្នក ៧ ចំណុច

  1. កុំបើកឯកសារ .z, .exe, .scr, .apk ដែលផ្ញើ ឬ forward មកតាម Telegram / Messenger ទោះបីមកពីមិត្តភក្តិក៏ដោយ — គណនីមិត្តអ្នកអាចត្រូវលួច។
  2. ពិនិត្យផ្នែកបញ្ចប់ (extension) ឯកសារ — ឯកសារ PDF ពិតបញ្ចប់ដោយ .pdf ប៉ុណ្ណោះ។ បើឃើញ _pdf.z.pdf.exe នោះជាមេរោគ
  3. បើក «Show file extensions» នៅក្នុង Windows ដើម្បីមើលឃើញ extension ពិតរបស់ឯកសារ ការពារកុំឲ្យត្រូវបញ្ឆោត។
  4. កុំបិទ Windows Defender ឬ antivirus ហើយ update វាឲ្យទាន់សម័យជានិច្ច។ បើកម្មវិធីស្នើសុំឲ្យបិទ antivirus នោះជាសញ្ញាមេរោគ។
  5. ទាញយកកម្មវិធីរដ្ឋ ឬ app ផ្លូវការ តែពី website ផ្លូវការ ឬ App Store / Play Store ប៉ុណ្ណោះ — មិនមែនតាម Telegram ទេ។
  6. បើកការផ្ទៀងផ្ទាត់ 2 ជាន់ (2FA) លើ Facebook, Telegram, Gmail ដើម្បីការពារគណនី ទោះបីលេខសម្ងាត់ត្រូវលួច។
  7. បើសង្ស័យថាឆ្លងមេរោគ៖ ផ្តាច់ internet ភ្លាម ដូរលេខសម្ងាត់ទាំងអស់ពីឧបករណ៍ស្អាតមួយផ្សេង ហើយ scan ដោយ antivirus ឬ reset Windows ឡើងវិញ។
ចងចាំ៖ រដ្ឋាភិបាល ឬស្ថាប័នផ្លូវការមិនដែលចែកកម្មវិធីជំនួយជាឯកសារ .z.exe តាម Telegram ទេ។ រាល់ពេលមានការសង្ស័យ សូមកុំចុច ហើយសួរនរណាម្នាក់ដែលចេះបច្ចេកទេសជាមុនសិន។

ព័ត៌មានបច្ចេកទេស (Indicators of Compromise)

សម្រាប់អ្នកបច្ចេកទេស ខាងក្រោមនេះជាសញ្ញាសម្គាល់មេរោគ (IOC) ដែលអាចប្រើដើម្បី block ឬ detect៖

ប្រភេទតម្លៃ
ឈ្មោះឯកសារកម្មវិធីឧបត្ថម្ភជនកម្ពុជា_pdf.z
FamilySilverfox (Trojan-Dropper · ValleyRAT-nexus)
C2 Domainbabyy2.com
C2 IP137.220.156.148 (ports 22, 53)
SHA-256 (.z)50af0fcf6218fb385216e2a1e8f8774a07380a9edb5715083e909264ca0a4018
MITRE ATT&CKT1566 · T1204 · T1562.001 · T1614.001 · T1070.004
"សុវត្ថិភាពអ៊ីនធឺណិតចាប់ផ្តើមពីខ្លួនយើងម្នាក់ៗ។ ការមិនចុចលើឯកសារចម្លែក គឺជាការការពារដ៏ល្អបំផុត។ បើអ្នកបានឃើញអត្ថបទនេះ សូមចែករំលែកទៅមិត្តភក្តិ និងក្រុមគ្រួសារ ដើម្បីកុំឲ្យពួកគាត់ក្លាយជាជនរងគ្រោះ។" — Noobie GMK

ចំណាំ៖ ការវិភាគទាំងអស់ត្រូវបានធ្វើឡើងក្នុងបរិយាកាសសុវត្ថិភាព (static analysis) ដោយមិន run មេរោគ។ អត្ថបទនេះមានគោលបំណងអប់រំ និងការពារសហគមន៍ប៉ុណ្ណោះ។