CrashFix – ពួក Hacker ប្រើប្រាស់កម្មវិធីបន្ថែមព្យាបាទដើម្បីបង្ហាញការព្រមានក្លែងក្លាយរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិត

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការមេរោគដ៏ស្មុគស្មាញមួយដោយប្រើយុទ្ធសាស្ត្រមិនធម្មតា ប៉ុន្តែមានប្រសិទ្ធភាព៖ ចេតនាធ្វើឲ្យកម្មវិធីរុករករបស់អ្នកប្រើប្រាស់គាំង។

ការគំរាមកំហែងនេះ ដែលមានឈ្មោះថា CrashFix ដំណើរការតាមរយៈផ្នែកបន្ថែម Chrome ព្យាបាទដែលក្លែងបន្លំជា NexShield ដែលជាកម្មវិធីទប់ស្កាត់ការផ្សាយពាណិជ្ជកម្មស្របច្បាប់។

នៅពេលដែលអ្នកប្រើប្រាស់ស្វែងរកឧបករណ៍ឯកជនភាពតាមអ៊ីនធឺណិត ការផ្សាយពាណិជ្ជកម្មព្យាបាទនាំពួកគេទៅទាញយកអ្វីដែលហាក់ដូចជាផ្នែកបន្ថែមដែលអាចទុកចិត្តបានពី Chrome Web Store របស់ Google។

ផ្នែកបន្ថែមក្លែងក្លាយនេះបើកដំណើរការការវាយប្រហារសម្របសម្រួលដែលត្រូវបានរចនាឡើងដើម្បីធ្វើឱ្យអ្នកប្រើប្រាស់ខកចិត្តក្នុងការប្រតិបត្តិពាក្យបញ្ជាដ៏គ្រោះថ្នាក់។

យុទ្ធនាការនេះបង្ហាញពីវិធីសាស្រ្តឆ្លងមេរោគច្រើនស្រទាប់ដែលផ្តោតលើបណ្តាញផ្ទះ និងសាជីវកម្ម។ នៅពេលដំឡើងរួច ផ្នែកបន្ថែមនៅតែអសកម្មរយៈពេលមួយម៉ោងដំបូងមុនពេលធ្វើឱ្យ payload បំផ្លិចបំផ្លាញរបស់វាសកម្ម។

យុទ្ធសាស្ត្រកំណត់ពេលវេលានេះបង្កើតចម្ងាយរវាងការដំឡើង និងបញ្ហា ដែលធ្វើឱ្យជនរងគ្រោះពិបាកស្តីបន្ទោសបញ្ហាកម្មវិធីរុករករបស់ពួកគេទៅលើកម្មវិធីដែលទើបបន្ថែមថ្មីៗ។

ប្រតិបត្តិការនេះបង្ហាញពីការធ្វើផែនការដោយប្រុងប្រយ័ត្នដោយអ្នកគំរាមកំហែងដែលយល់ពីឥរិយាបថរបស់អ្នកប្រើប្រាស់។

អ្នកវិភាគរបស់ Huntress បានកត់សម្គាល់ថា យុទ្ធនាការនេះមានប្រភពមកពី KongTuke ដែលជាក្រុមអ្នកគំរាមកំហែងដែលត្រូវបានតាមដានយ៉ាងសកម្មចាប់តាំងពីដើមឆ្នាំ 2025។

អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណសមាសធាតុស្មុគស្មាញជាច្រើន រួមទាំងផ្នែកបន្ថែម NexShield ដែលធ្វើត្រាប់តាម uBlock Origin Lite យន្តការវាយប្រហារ CrashFix និងឧបករណ៍ចូលប្រើពីចម្ងាយដែលមានមូលដ្ឋានលើ Python ដែលមិនស្គាល់ពីមុនហៅថា ModeloRAT។

គោលដៅសាជីវកម្មទទួលបានការព្យាបាលអនុគ្រោះ ដោយម៉ាស៊ីនដែលភ្ជាប់ដែនចូលប្រើប្រាស់មេរោគដែលមានថាមពលខ្លាំងជាងប្រព័ន្ធឯករាជ្យ ដែលបង្ហាញថាអ្នកវាយប្រហារផ្តល់អាទិភាពដល់ការសម្របសម្រួលសហគ្រាស។

យន្តការវាយប្រហារបដិសេធសេវាកម្មរបស់កម្មវិធីរុករក

ស្នូលរបស់ CrashFix ពឹងផ្អែកលើការវាយប្រហារបដិសេធសេវាកម្មដោយចេតនាប្រឆាំងនឹងកម្មវិធីរុករករបស់ជនរងគ្រោះ។ ផ្នែកបន្ថែមនេះមានកូដដែលបង្កើតការតភ្ជាប់ច្រកពេលវេលាដំណើរការមួយពាន់លាននៅក្នុងរង្វិលជុំគ្មានកំណត់។

ច្រកនីមួយៗប្រើប្រាស់អង្គចងចាំ ខណៈពេលដែលអារេពង្រីកដោយគ្មានការចងភ្ជាប់ ដែលធ្វើឲ្យប្រព័ន្ធផ្ញើសារខាងក្នុងរបស់កម្មវិធីរុករកលើសលប់ និងប្រើប្រាស់វដ្ត CPU។

ការប្រើប្រាស់អង្គចងចាំកើនឡើងរហូតដល់ដែនកំណត់ប្រព័ន្ធត្រូវបានឈានដល់ ដែលបណ្តាលឱ្យមានការថយចុះល្បឿនធ្ងន់ធ្ងរ ផ្ទាំងកក និងការគាំងកម្មវិធីរុករកទាំងស្រុង ដែលតម្រូវឲ្យបង្ខំឲ្យចាកចេញ។

នៅពេលដែលអ្នកប្រើប្រាស់ចាប់ផ្តើមកម្មវិធីរុករករបស់ពួកគេឡើងវិញ ពួកគេជួបប្រទះនឹងការព្រមានសុវត្ថិភាពក្លែងក្លាយដែលអះអាងថាកម្មវិធីរុករក "បានឈប់មិនប្រក្រតី"។ ការព្រមាននេះណែនាំជនរងគ្រោះឱ្យបើកប្រអប់ Windows Run បិទភ្ជាប់ពាក្យបញ្ជា clipboard ហើយចុច Enter។

មិនស្គាល់អ្នកប្រើប្រាស់ទេ ផ្នែកបន្ថែមដែលមានគំនិតអាក្រក់ពីមុនបានចម្លងពាក្យបញ្ជា PowerShell ទៅ clipboard របស់ពួកគេ។ ពាក្យបញ្ជាដែលបង្ហាញហាក់ដូចជាស្របច្បាប់ ប៉ុន្តែប្រតិបត្តិ payload ដ៏គ្រោះថ្នាក់ជំនួសវិញ។