Kaspersky သည် crypto ပိုက်ဆံအိတ်ပြန်လည်ရယူရေးစာပိုဒ်တိုများကိုခိုးယူရန်အကြမ်းဖျင်းအားဖြင့် module 20 ကိုအသုံးပြုသည့်တစ်နှစ်သက်တမ်းရှိ malware လည်ပတ်မှု OkoBot ကိုဖော်ထုတ်ခဲ့ပြီးအနည်းဆုံးနိုင်ငံငါးခုရှိအသုံးပြုသူများကိုထိခိုက်ခဲ့သည်။
အကျဉ်းချုပ်
- Kaspersky သည် crypto ပိုက်ဆံအိတ်အထောက်အထားများကိုခိုးယူရန်အကြမ်းဖျင်းအားဖြင့် module 20 ကိုအသုံးပြု၍ OkoBot ကိုဖော်ထုတ်ခဲ့သည်။
- Malware သည် ဘရာဇီး၊ ဗီယက်နမ်၊ ကနေဒါ၊ မက္ကဆီကိုနှင့် တူရကီရှိ သုံးစွဲသူများကို ထိခိုက်စေခဲ့သည်။
- OkoBot သည် သားကောင်များကို ပစ်မှတ်ထားရန် အတုအယောင် ပြန်လည်ရယူရေးစခရင်များ၊ သော့လော့လော့ဂ်၊ စပိုင်ဝဲနှင့် ClickFix အမိန့်များကို အသုံးပြုသည်။
Kaspersky မှ သုတေသီများသည် Malware သည် တစ်နှစ်ကျော်ကြာ ဆက်လက် လည်ပတ်နေခဲ့ကြောင်း တွေ့ရှိခဲ့ကြောင်း သတင်းတစ်ရပ်အရ သိရသည်။ အစီရင်ခံစာ Bits.media မှထုတ်ဝေသည်။ ဖော်ထုတ်ခံရသူအများစုမှာ ဘရာဇီး၊ ဗီယက်နမ်၊ ကနေဒါ၊ မက္ကဆီကိုနှင့် တူရကီတို့တွင် တည်ရှိပြီး အော်ပရေတာများက ရုရှားနှင့် အခြားလွတ်လပ်သော ဓနသဟာယနိုင်ငံများမှ IP လိပ်စာများကို ပိတ်ဆို့ထားချိန်တွင် အော်ပရေတာများက ပိတ်ဆို့ထားသည်။
GitHub repositories မှတဆင့်ဖြန့်ဝေထားသော OkoBot ကို Microsoft SQL Server Management Studio အပါအဝင် တရားဝင်ဆော့ဖ်ဝဲလ်အဖြစ် အသွင်ပြောင်းထားသည်။ တိုက်ခိုက်သူများသည် ၎င်းတို့၏ကိုယ်ပိုင်စက်ပစ္စည်းများတွင် အန္တရာယ်ရှိသောအမိန့်များကို လုပ်ဆောင်ရန် လှည့်စားသည့် ClickFix လူမှုအင်ဂျင်နီယာနည်းလမ်းကို အားကိုးကြောင်း Kaspersky တွေ့ရှိခဲ့သည်။
အဆိုပါနည်းပညာသည် သုံးစွဲသူများအား မှားယွင်းသော မက်ဆေ့ချ်များ၊ အတည်ပြုခြင်းအဆင့်များ သို့မဟုတ် ပြုပြင်ခြင်းဆိုင်ရာ ညွှန်ကြားချက်များကို မကြာခဏ တင်ဆက်ပေးပါသည်။ အဆိုပါ လမ်းညွှန်ချက်များကို လိုက်နာခြင်းဖြင့် သားကောင်များသည် ကွန်မန်းသည် အန္တရာယ်ရှိမှန်း မသိဘဲ Malware ကို ထည့်သွင်းသည့် ကုဒ်ကို လုပ်ဆောင်စေပါသည်။
OkoBot သည် မျိုးစေ့စာစုများနှင့် ပိုက်ဆံအိတ်အထောက်အထားများကို ပစ်မှတ်ထားသည်။
Kaspersky ၏အဆိုအရ OkoBot ၏ modules များတွင် SeedHunter သည် Ledger နှင့် Trezor ကဲ့သို့သော hardware wallet များနှင့်ချိတ်ဆက်ထားသောအတုပြန်လည်ရယူခြင်းအင်တာဖေ့စ်ကိုပြသထားသည်။ အသုံးပြုသူများသည် ၎င်းတို့၏ ပြန်လည်ရယူရေး စကားစုများကို လိမ်လည်သော ဖန်သားပြင်တွင် ထည့်သွင်းသောအခါ၊ မော်ဂျူးသည် အချက်အလက်များကို malware အော်ပရေတာများသို့ ပေးပို့သည်။
MC Keylogger ဟုခေါ်သော ဒုတိယ မော်ဂျူးတစ်ခုသည် ကီးဘုတ်ထည့်သွင်းမှုကို မှတ်တမ်းတင်ပြီး ကလစ်ဘုတ်လှုပ်ရှားမှုကို စောင့်ကြည့်ကာ စကားဝှက်များ၊ ကူးယူထားသော ပိုက်ဆံအိတ်လိပ်စာများနှင့် အခြားအထောက်အထားများကို ဖမ်းယူနိုင်စေပါသည်။ OkoSpyware သည် ပိုက်ဆံအိတ်စကားဝှက်များကို ခြေရာခံနိုင်ပြီး ဖွင့်ထားသော windows ၏ ဗီဒီယိုများကို မှတ်တမ်းတင်နိုင်ပြီး၊ တိုက်ခိုက်သူများအား ကူးစက်ခံထားရသည့် စက်ပစ္စည်းတစ်ခုပေါ်ရှိ လုပ်ဆောင်ချက်များကို စောင့်ကြည့်လေ့လာရန် အခြားနည်းလမ်းတစ်ခုပေးစွမ်းနိုင်သည်။
ပြန်လည်ရယူရေးစကားစုတစ်ခုကို ဖော်ထုတ်လိုက်သည်နှင့်၊ တိုက်ခိုက်သူများသည် ဆက်စပ်ပိုက်ဆံအိတ်ကို ထိန်းချုပ်ပြီး ၎င်း၏ပိုင်ဆိုင်မှုများကို ရွှေ့ရန် ၎င်းကို အသုံးပြုနိုင်သည်။ ယေဘုယျအားဖြင့် blockchain လွှဲပြောင်းမှုများသည် ယေဘူယျအားဖြင့် နောက်ပြန်မဆုတ်နိုင်သောကြောင့် ခိုးယူထားသော cryptocurrency ပြန်လည်ရယူရန် အခွင့်အရေးနည်းပါးကြောင်း Kaspersky မှ သတိပေးခဲ့သည်။
Malware ၏ မော်ဂျူလာ ဒီဇိုင်းသည် ၎င်း၏ အော်ပရေတာများအား ကူးစက်ခံထားရသော စနစ်တစ်ခုမှ အချက်အလက်များ အမျိုးမျိုးကို စုဆောင်းနိုင်စေပါသည်။ လုံခြုံရေးကုမ္ပဏီ၏ တွေ့ရှိချက်များအရ OkoBot သည် စက်တွင်အသုံးပြုသည့် အခြားဝန်ဆောင်မှုများနှင့် ချိတ်ဆက်ထားသော ပိုက်ဆံအိတ်ဒေတာနှင့် အထောက်အထားများကို ပစ်မှတ်ထားနိုင်သည်။
ClickFix တိုက်ခိုက်မှုများသည် crypto developer များကို ပစ်မှတ်ထားခဲ့သည်။
OkoBot သည် cryptocurrency ကဏ္ဍကိုဆန့်ကျင်သည့် ClickFix ကိုအသုံးပြု၍ တွေ့ရှိသည့်နောက်ဆုံးပေါ် malware လှုပ်ရှားမှုဖြစ်သည်။ ဧပြီလတွင် crypto.news တွင်ဖော်ပြခဲ့သည့်အတိုင်း၊ မြောက်ကိုရီးယား၏အစိုးရကျောထောက်နောက်ခံပြု Lazarus Group သည် “ ဟုသိကြသော macOS လှုပ်ရှားမှုတစ်ခုတွင် အလားတူနည်းပညာကိုအသုံးပြုခဲ့သည်။Mach-O Man”
CertiK မှ သုတေသနကို ကိုးကား၍ Lazarus သည် fintech နှင့် crypto အမှုဆောင်အရာရှိများထံ အွန်လိုင်းအစည်းအဝေးဖိတ်ကြားချက်အတုများကို ပေးပို့ခဲ့ကြောင်း အစီရင်ခံစာတွင် တွေ့ရှိခဲ့သည်။ ခံရသူများသည် cryptocurrency နှင့် ကော်ပိုရိတ်အချက်အလက်များကို ခိုးယူနိုင်သည့် malware ထည့်သွင်းထားသည့် macOS Terminal တွင် ပြုပြင်ခြင်း သို့မဟုတ် အတည်ပြုခြင်းအမိန့်များကို ကူးထည့်ရန် ညွှန်ကြားထားသည်။
CertiK သည် Mach-O Man ကိရိယာတန်ဆာပလာကို လည်ပတ်ပြီးနောက် သူ့အလိုလို ဖျက်ပစ်လိုက်ပြီး မှုခင်းဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာမှု ပိုမိုခက်ခဲသွားသည်ကို တွေ့ရှိခဲ့သည်။ ကမ်ပိန်းသည် အန္တရာယ်ရှိသော ဖိုင်ဒေါင်းလုဒ်များကိုသာ အားကိုးမည့်အစား terminal-level commands များနှင့် social engineering ကို ပေါင်းစပ်ထားသည်။
ဆော့ဖ်ဝဲရေးသားသူကိရိယာများသည် crypto စနစ်များသို့ အခြားလမ်းကြောင်းတစ်ခုကို ပံ့ပိုးပေးထားသည်။ မေလတွင် crypto.news အစီရင်ခံပါတယ်။ TrapDoor malware သည် cryptocurrency၊ ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော ဘဏ္ဍာရေး၊ ဉာဏ်ရည်တုနှင့် လုံခြုံရေးအခြေခံအဆောက်အအုံများတွင် developer များအား ပစ်မှတ်ထားသည့် အဆိပ်သင့်ဆော့ဖ်ဝဲပက်ကေ့ဂျ်များမှတစ်ဆင့် ဖြန့်ဝေခဲ့သည်။
ထိုအစီရင်ခံစာအရ TrapDoor သည် ပိုက်ဆံအိတ်ဒေတာ၊ API သော့များ၊ cloud အထောက်အထားများနှင့် Coinbase၊ Binance၊ MetaMask၊ Brave၊ Solana၊ Sui နှင့် Aptos အပါအဝင် ဝန်ဆောင်မှုများနှင့် ဂေဟစနစ်များနှင့် ဆက်စပ်နေသော SSH အသုံးပြုခွင့်ကို ရှာဖွေခဲ့သည်။ သုတေသီများသည် Claude နှင့် Cursor ကို လျှို့ဝှက်ချက်များကို ဖော်ထုတ်ပြီး တိုက်ခိုက်သူများထံ ကူးစက်စေသည့် လုံခြုံရေးစကင်န်အတုများကို လုပ်ဆောင်ရန် လျှို့ဝှက်ချက်များကို အသုံးချရန် ဒီဇိုင်းထုတ်ထားသည့် လျှို့ဝှက်ချက်များကိုလည်း တွေ့ရှိခဲ့သည်။