អ្នកស្រាវជ្រាវព្រមានពីការរីករាលដាលមេរោគ WhatsApp ដោយខ្លួនឯងដែលមានឈ្មោះថា SORVEPOTEL

អ្នក​ប្រើ​ប្រេស៊ីល​បាន​ក្លាយ​ជា​គោលដៅ​នៃ​មេរោគ​ចម្លង​ដោយ​ខ្លួន​ឯង​ថ្មី​ដែល​រីក​រាល​ដាល​តាម​រយៈ​កម្មវិធី​ផ្ញើសារ​ដ៏​ពេញ​និយម WhatsApp។

យុទ្ធនាការដែលមានឈ្មោះកូដ SORVEPOTEL ដោយ Trend Micro ផ្តល់អាវុធដល់ការជឿទុកចិត្តជាមួយនឹងវេទិកានេះ ដើម្បីពង្រីកការឈានទៅដល់ទូទាំងប្រព័ន្ធ Windows ដោយបន្ថែមការវាយប្រហារគឺ "វិស្វកម្មសម្រាប់ល្បឿន និងការផ្សព្វផ្សាយ" ជាជាងការលួចទិន្នន័យ ឬ ransomware ។

អ្នកស្រាវជ្រាវ Jeffrey Francis Bonaobra, Maristel Policarpio, Sophia Nilette Robles, Cj Arsley Mateo, Jacob Santos និង Paul John Bardon បាននិយាយថា "SORVEPOTEL ត្រូវបានគេសង្កេតឃើញរីករាលដាលពាសពេញប្រព័ន្ធ Windows តាមរយៈការបញ្ចុះបញ្ចូលនូវសារបន្លំជាមួយនឹងឯកសារភ្ជាប់ ZIP ដ៏អាក្រក់"។

"គួរឱ្យចាប់អារម្មណ៍ សារបន្លំដែលមានឯកសារភ្ជាប់ព្យាបាទតម្រូវឱ្យអ្នកប្រើប្រាស់បើកវានៅលើកុំព្យូទ័រ ដោយបង្ហាញថាអ្នកគំរាមកំហែងអាចចាប់អារម្មណ៍លើការកំណត់គោលដៅសហគ្រាសជាជាងអ្នកប្រើប្រាស់។"

នៅពេលដែលឯកសារភ្ជាប់ត្រូវបានបើក មេរោគនឹងសាយភាយដោយស្វ័យប្រវត្តិតាមរយៈកំណែបណ្តាញកុំព្យូទ័ររបស់ WhatsApp ដែលនៅទីបំផុតធ្វើឱ្យគណនីមេរោគត្រូវបានហាមឃាត់ចំពោះការចូលរួមក្នុងសារឥតបានការលើសលប់។ មិនមានការចង្អុលបង្ហាញណាមួយដែលថាតួអង្គគំរាមកំហែងបានប្រើប្រាស់សិទ្ធិក្នុងការទាញយកទិន្នន័យ ឬអ៊ិនគ្រីបឯកសារនោះទេ។

ភាគច្រើននៃការឆ្លង - 457 ករណីនៃ 477 ករណី - ត្រូវបានប្រមូលផ្តុំនៅក្នុងប្រទេសប្រេស៊ីលដោយមានអង្គភាពនៅក្នុងរដ្ឋាភិបាល សេវាសាធារណៈ ផលិតកម្ម បច្ចេកវិទ្យា ការអប់រំ និងវិស័យសំណង់បានរងផលប៉ះពាល់ខ្លាំងបំផុត។

ចំណុចចាប់ផ្តើមនៃការវាយប្រហារគឺជាសារបន្លំដែលបានផ្ញើពីទំនាក់ទំនងដែលបានសម្របសម្រួលរួចហើយនៅលើ WhatsApp ដើម្បីផ្តល់អោយវានូវភាពជឿជាក់។ សារនេះមានឯកសារភ្ជាប់ ZIP ដែលក្លែងបន្លំជាបង្កាន់ដៃដែលហាក់ដូចជាគ្មានគ្រោះថ្នាក់ ឬឯកសារទាក់ទងនឹងកម្មវិធីសុខភាព។

នោះបាននិយាយថា មានភ័ស្តុតាងបង្ហាញថា ប្រតិបត្តិករនៅពីក្រោយយុទ្ធនាការក៏បានប្រើអ៊ីមែលដើម្បីចែកចាយឯកសារ ZIP ពីអាសយដ្ឋានអ៊ីមែលដែលហាក់ដូចជាស្របច្បាប់។

ប្រសិនបើអ្នកទទួលចាញ់បោកបញ្ឆោត ហើយបើកឯកសារភ្ជាប់ ពួកគេត្រូវបានទាក់ទាញឱ្យបើកឯកសារផ្លូវកាត់វីនដូ (LNK) ដែលនៅពេលចាប់ផ្តើម ដំណើរការដោយស្ងៀមស្ងាត់នូវស្គ្រីប PowerShell ដែលទទួលខុសត្រូវក្នុងការទាញយកបន្ទុកសំខាន់ពីម៉ាស៊ីនមេខាងក្រៅ (ឧ. sorvetenopoate[.]com) ។

បន្ទុកដែលបានទាញយកគឺជាស្គ្រីបបាច់ដែលត្រូវបានរចនាឡើងដើម្បីបង្កើតភាពជាប់លាប់នៅលើម៉ាស៊ីនដោយចម្លងខ្លួនវាទៅថត Windows Startup ដូច្នេះវាត្រូវបានដំណើរការដោយស្វ័យប្រវត្តិបន្ទាប់ពីការចាប់ផ្តើមប្រព័ន្ធ។ វាត្រូវបានរចនាឡើងផងដែរដើម្បីដំណើរការពាក្យបញ្ជា PowerShell ដែលទៅដល់ម៉ាស៊ីនមេ command-and-control (C2) ដើម្បីទាញយកការណែនាំបន្ថែម ឬសមាសធាតុព្យាបាទបន្ថែម។

ប្រតិបត្តិការកណ្តាលទៅ SORVEPOTEL គឺជាយន្តការផ្សព្វផ្សាយដែលផ្តោតលើ WhatsApp ។ ប្រសិនបើមេរោគរកឃើញថា WhatsApp Web សកម្មនៅលើប្រព័ន្ធដែលឆ្លងមេរោគ វាបន្តចែកចាយឯកសារ ZIP ព្យាបាទទៅគ្រប់ទំនាក់ទំនង និងក្រុមដែលពាក់ព័ន្ធជាមួយគណនីដែលរងការសម្របសម្រួលរបស់ជនរងគ្រោះ ដែលអនុញ្ញាតឱ្យវារីករាលដាលយ៉ាងឆាប់រហ័ស។

Trend Micro បាននិយាយថា "ការរីករាលដាលដោយស្វ័យប្រវត្តិនេះបណ្តាលឱ្យមានបរិមាណសារឥតបានការច្រើន ហើយជារឿយៗនាំឱ្យមានការផ្អាកគណនី ឬការហាមឃាត់ដោយសារតែការរំលោភលើលក្ខខណ្ឌនៃសេវាកម្មរបស់ WhatsApp" ។

"យុទ្ធនាការ SORVEPOTEL បង្ហាញពីរបៀបដែលតួអង្គគំរាមកំហែងកំពុងបង្កើនការប្រើប្រាស់វេទិកាទំនាក់ទំនងដ៏ពេញនិយមដូចជា WhatsApp ដើម្បីសម្រេចបាននូវការផ្សព្វផ្សាយមេរោគក្នុងទ្រង់ទ្រាយធំយ៉ាងឆាប់រហ័ស ជាមួយនឹងអន្តរកម្មអ្នកប្រើប្រាស់តិចតួចបំផុត។"