ភ្នាក់ងារគំរាមកំហែងប្រើប្រាស់ការទាញយកកូដក្លែងក្លាយ Claude ដើម្បីដាក់ពង្រាយ Infostealer

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានរកឃើញវិធីថ្មីមួយដើម្បីកំណត់គោលដៅអ្នកអភិវឌ្ឍន៍ និងអ្នកជំនាញផ្នែកព័ត៌មានវិទ្យា ដោយបង្កើតទំព័រទាញយកក្លែងក្លាយ ដែលក្លែងបន្លំជា Claude Code ដែលជាជំនួយការសរសេរកូដ AI ស្របច្បាប់។

ទំព័របោកប្រាស់ទាំងនេះបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យទាញយកអ្វីដែលហាក់ដូចជាកញ្ចប់ដំឡើងផ្លូវការ ប៉ុន្តែផ្ទុយទៅវិញ ដាក់ពង្រាយមេរោគ infostealer ទៅក្នុងប្រព័ន្ធរបស់ជនរងគ្រោះដោយស្ងៀមស្ងាត់។

ការប្រើប្រាស់ឧបករណ៍ AI ដ៏ល្បីមួយជានុយឆ្លុះបញ្ចាំងពីនិន្នាការកើនឡើង ដែលតួអង្គគំរាមកំហែងកេងប្រវ័ញ្ចប្រជាប្រិយភាពនៃវេទិកាបញ្ញាសិប្បនិម្មិត ដើម្បីទទួលបានទំនុកចិត្ត និងជៀសវាងការសង្ស័យ។

ការវាយប្រហារនេះត្រូវបានគេសង្កេតឃើញជាលើកដំបូងតាមរយៈយុទ្ធនាការចែកចាយដោយប្រើវាជាដែនចែកចាយ។

ជនរងគ្រោះត្រូវបានទាក់ទាញទៅកាន់គេហទំព័រទាំងនេះ ដែលត្រូវបានរចនាឡើងយ៉ាងប្រុងប្រយ័ត្ន ដើម្បីធ្វើត្រាប់តាមរូបរាង និងអារម្មណ៍នៃវិបផតថលទាញយកកម្មវិធីស្របច្បាប់។

នៅពេលដែលអ្នកប្រើប្រាស់ចុចប៊ូតុងទាញយក ពួកគេមិនទទួលបានកម្មវិធីពិតប្រាកដណាមួយទេ — ផ្ទុយទៅវិញ គេហទំព័រនេះនឹងបង្កឱ្យមានខ្សែសង្វាក់ប្រតិបត្តិព្យាបាទ ដែលចាប់ផ្តើមនៅពេលដែលឯកសារត្រូវបានបើក។

ការរចនាដ៏គួរឱ្យជឿជាក់នៃទំព័រក្លែងក្លាយទាំងនេះផ្តល់ឱ្យអ្នកប្រើប្រាស់នូវហេតុផលតិចតួចណាស់ក្នុងការសួរអំពីភាពត្រឹមត្រូវនៃឯកសារមុនពេលវាយឺតពេល។

អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិត Maurice Fielenbach បានកត់សម្គាល់ពីយុទ្ធនាការនេះ ហើយបានគូសបញ្ជាក់ថា ការវាយប្រហារនេះបញ្ចប់ដោយ infostealer ដែលមានមូលដ្ឋានលើ MSHTA ដ៏សាមញ្ញមួយ។

លោកបានចង្អុលបង្ហាញថា mshta.exe ដែលជាឯកសារគោលពីរ Microsoft Windows ស្របច្បាប់ នៅតែជាដំណើរការសំខាន់បំផុតមួយសម្រាប់អ្នកការពារក្នុងការត្រួតពិនិត្យ ព្រោះវាត្រូវបានរំលោភបំពានជាញឹកញាប់ដោយអ្នកវាយប្រហារដើម្បីដំណើរការឯកសារ HTML Application (HTA) ដែលមានគំនិតអាក្រក់ដែលទាញយកដោយផ្ទាល់ពីប្រភពពីចម្ងាយ។

លោក Fielenbach ក៏បានសង្កត់ធ្ងន់ផងដែរថា ការត្រួតពិនិត្យការប្រតិបត្តិ HTA ពីប្រភពពីចម្ងាយគឺជាសូចនាករសញ្ញាខ្ពស់នៃសកម្មភាពរបស់អ្នកវាយប្រហារពិតប្រាកដ។

បរិបទទូលំទូលាយនៃយុទ្ធនាការនេះសមនឹងគំរូដែលបានចងក្រងជាឯកសារយ៉ាងល្អ ដែលអ្នកគំរាមកំហែងប្រើប្រាស់ទំនុកចិត្តដែលកំពុងកើនឡើងដែលមនុស្សដាក់លើឧបករណ៍ AI។

ខណៈពេលដែលវេទិកាសរសេរកូដដែលមានជំនួយពី AI ឃើញការទទួលយកកាន់តែទូលំទូលាយនៅទូទាំងសហគមន៍អ្នកអភិវឌ្ឍន៍ ឧក្រិដ្ឋជនរកឃើញក្រុមជនរងគ្រោះសក្តានុពលកាន់តែច្រើនដែលអាចមានការប្រុងប្រយ័ត្នតិចជាងនៅពេលទាញយកអ្វីដែលហាក់ដូចជាឧបករណ៍ផលិតភាពស្របច្បាប់។

នេះមិនមែនជាលើកទីមួយទេដែលល្បិចកល Claude-themed ត្រូវបានប្រើប្រាស់ — យុទ្ធនាការមុនៗបានកេងប្រវ័ញ្ច AI លើម៉ាកយីហោដូចគ្នា ដែលបង្ហាញថានិន្នាការនេះនៅឆ្ងាយពីភាពឯកោ។

ផលប៉ះពាល់នៃ infostealer នេះអាចធ្ងន់ធ្ងរសម្រាប់អ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់ណាមួយ។ នៅពេលដែលមេរោគដំណើរការលើម៉ាស៊ីនរបស់ជនរងគ្រោះ វាអាចប្រមូលព័ត៌មានសម្ងាត់ដែលរក្សាទុកក្នុងកម្មវិធីរុករក ថូខឹនវគ្គ និងទិន្នន័យរសើបផ្សេងទៀត មុនពេលផ្ញើវាទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

សម្រាប់អ្នកអភិវឌ្ឍន៍ដែលជាគោលដៅចម្បង ផលវិបាកលាតសន្ធឹងលើសពីការបាត់បង់ទិន្នន័យផ្ទាល់ខ្លួន — ព័ត៌មានសម្ងាត់ដែលរងការលួចចូលអាចបើកទ្វារទៅកាន់ឃ្លាំងកូដ បរិស្ថានពពក និងប្រព័ន្ធខាងក្នុង ដែលអាចបង្កឱ្យមានឧប្បត្តិហេតុសុវត្ថិភាពរបស់អង្គការកាន់តែទូលំទូលាយ។

ការប្រតិបត្តិផ្អែកលើ MSHTA និងការរំលោភបំពាន LOLBin

យន្តការឆ្លងមេរោគនៅក្នុងយុទ្ធនាការនេះផ្តោតលើការរំលោភបំពាន mshta.exe ដែលជាឯកសារគោលពីររបស់ Microsoft ដែលបានចុះហត្ថលេខា ដែលជាផ្នែកមួយនៃប្រព័ន្ធប្រតិបត្តិការ Windows ស្នូល។

ដោយសារវាជាឧបករណ៍ដើមដែលគួរឱ្យទុកចិត្ត ផលិតផលសុវត្ថិភាពជាច្រើនមិនដាក់ទង់សកម្មភាពរបស់វាតាមលំនាំដើមទេ ដែលធ្វើឱ្យវាក្លាយជាយានជំនិះដែលមានទម្រង់ទាបសម្រាប់អ្នកវាយប្រហារ។

បច្ចេកទេសនេះត្រូវបានគេស្គាល់ថាជា Living off the Land ហើយត្រូវបានចាត់ថ្នាក់ក្រោម MITRE ATT&CK ជា T1218.005 ដែលអនុញ្ញាតឱ្យមេរោគដំណើរការដោយមិនចាំបាច់ទម្លាក់ឯកសារដែលអាចប្រតិបត្តិបានបែបប្រពៃណីទៅក្នុងថាស ដែលកាត់បន្ថយផលប៉ះពាល់នៃការរកឃើញរបស់វាយ៉ាងច្រើន។

នៅពេលដែលជនរងគ្រោះមានអន្តរកម្មជាមួយទំព័រទាញយកក្លែងក្លាយ mshta.exe ត្រូវបានហៅឱ្យទៅយក និងដំណើរការឯកសារ HTA ពីចម្ងាយដែលមានស្គ្រីបព្យាបាទដែលបានបង្កប់។

ស្គ្រីបនេះអនុវត្តមុខងារស្នូលរបស់ infostealer — ការប្រមូលព័ត៌មានសម្គាល់ ទិន្នន័យកម្មវិធីរុករក និងព័ត៌មានរសើបផ្សេងទៀត — ទាំងស្រុងនៅក្នុងអង្គចងចាំ។

ការប្រើប្រាស់ការប្រតិបត្តិ HTA ពីចម្ងាយមានន័យថា payload មិនដែលចុះចតលើប្រព័ន្ធជាឯកសារឯករាជ្យនោះទេ ដែលធ្វើឱ្យការសង្គ្រោះផ្នែកកោសល្យវិច្ច័យកាន់តែពិបាកសម្រាប់អ្នកឆ្លើយតបឧប្បត្តិហេតុបន្ទាប់ពីការវាយប្រហារ។

ក្រុមសន្តិសុខត្រូវបានណែនាំយ៉ាងខ្លាំងឱ្យបើកការកត់ត្រាលម្អិតសម្រាប់សកម្មភាព mshta.exe នៅទូទាំងចំណុចបញ្ចប់ទាំងអស់ និងដាក់ទង់សញ្ញាណាមួយដែលវាភ្ជាប់ទៅ URL ខាងក្រៅ។

អង្គការនានាក៏គួរពិចារណារឹតបន្តឹងការប្រតិបត្តិ mshta.exe តាមរយៈគោលការណ៍គ្រប់គ្រងកម្មវិធីដែលតម្រូវការប្រតិបត្តិការរបស់ពួកគេអនុញ្ញាត។

អ្នកប្រើប្រាស់គួរតែផ្ទៀងផ្ទាត់ការទាញយកកម្មវិធីពីប្រភពអ្នកលក់ផ្លូវការជានិច្ច ហើយជៀសវាងការទាញយកឧបករណ៍ពីគេហទំព័រភាគីទីបី ឬគេហទំព័រដែលមិនធ្លាប់ស្គាល់ ដោយមិនគិតពីថាតើទំព័រអាចលេចឡើងពិតប្រាកដប៉ុណ្ណានោះទេ។