x

တစ်ပတ်လျှင် Facebook လုပ်ငန်းသုံးအကောင့် တစ်သိန်းကို ပစ်မှတ်ထားလျက် Messenger တွင် Phishing လိမ်လည်မှုများ ပြုလုပ်နေကြ

09/15/2023 -  Comments

Facebook လုပ်ငန်းသုံးအကောင့်များကို စကားဝှက်ခိုးယူသည့်အဖျက်အမှောက်ပရိုဂရမ်များဖြင့် ပစ်မှတ်ထားတိုက်ခိုက်ရန်အတွက် Messenger တွင် သန်းနှင့်ချီသော Phishing စာတိုများ ပေးပို့ရန် ဟက်ကာများက Facebook အကောင့်တုများနှင့် တိုက်ခိုက်ခံထားရသော Facebook အကောင့်များကို အသုံးပြုနေသည်။

          တိုက်ခိုက်သူများက တိုက်ခိုက်ခံရသူ၏ Web Browser တွင် သိမ်းဆည်းထားသော စကားဝှက်များနှင့် ကွတ်ကီးများကို ခိုးယူနိုင်သည့် Python ဖြင့်ရေးသားထားသော Downloader ပရိုဂရမ်တစ်ခုပါသည့် RAR သို့မဟုတ် ZIP ဖိုင်ကို Download လုပ်စေခြင်းဖြင့် ၎င်းတို့၏ပစ်မှတ်များကို လှည့်စားသည်။

          Guardio Labs ၏ အစီရင်ခံစာသစ်တွင် အကြမ်းဖျင်းအားဖြင့် ပစ်မှတ်ထားတိုက်ခိုက်ခဲ့သော အကောင့်ရေ ၇၀ အနက်မှ တစ်ခုသည် ပြင်းပြင်းထန်ထန်တိုက်ခိုက်ခံရပြီး ငွေကြေးဆုံးရှုံးမှုများစွာ ဖြစ်ခဲ့ကြောင်း သတိပေးထားသည်။

Facebook Messenger phishing

          ဟက်ကာများသည်  Facebook လုပ်ငန်းသုံးအကောင့်များထံ မူပိုင်ခွင့်ချိုးဖောက်ခြင်းနှင့် ထုတ်ကုန်များနှင့်ပတ်သက်၍ အချက်အလက်များတောင်းခံခြင်း ဟန်ဆောင်ကာ Messenger မှတစ်ဆင့် Phishing စာတိုများ ပေးပို့သည်။

Phishing message

          ပူးတွဲပေးပို့သော Archive ဖိုင်တွင် Batch ဖိုင်တစ်ဖိုင်ပါဝင်ပြီး အဆိုပါဖိုင်ကို ဖွင့်ပါက Github မှ အဖျက်အမှောက်ပရိုဂရမ်တစ်ခုကို ဒေါင်းလုပ်လုပ်ယူပြီး ၎င်းဖိုင်က ပိတ်ဆို့ထားခြင်းကို ကျော်လွှားရန်နှင့် သဲလွန်စများကို လျှော့ချရန်အတွက် ဖြစ်သည်။

          အဆိုပါအဖျက်အမှောက်ဖိုင်သည် သတင်းအချက်အလက်ခိုးယူမည့်ပရိုဂရမ်က လိုအပ်သော Python ဝန်းကျင်ကို ရရှိအောင်ဆောင်ရွက်မည်ဖြစ်ပြီး ကွန်ပျူတာဖွင့်တိုင်း အလုပ်လုပ်နိုင်စေသည့် လုပ်ဆောင်ချက်ကို ထည့်သွင်းထားသည်။

          Python ဖြင့်ရေးသားထားသော ဖိုင်တွင် ကုဒ်ဝှက်ခြင်းကို အလွှာ ၅ လွှာဖြင့် တည်ဆောက်ထားသဖြင့် ဗိုင်းရပ်စ်နှိမ်နှင်းရေးပရိုဂရမ်များက ထိုဖိုင်ကို ထောက်လှမ်းသိရှိရန် စိန်ခေါ်မှုဖြစ်စေသည်။

Part of the payload's code

          အဖျက်အမှောက်ပရိုဂရမ်သည် တိုက်ခိုက်ခံရသူ၏ Web Browser တွင် သိမ်းဆည်းထားသော ကွတ်ကီးများနှင့် Login ဝင်ရောက်သည့်အချက်အလက်များကို စုဆောင်းပြီးနောက် “Document.zip” ဖိုင်အဖြစ် ပြောင်းလဲသည်။ ၎င်းနောက် ခိုးယူထားသောအချက်အလက်များကို တိုက်ခိုက်သူထံ Telegram သို့မဟုတ် Discord bot ၏ API အသုံးပြု၍ ပေးပို့သည်။

          နောက်ဆုံးတွင် ခိုးယူသည့်ပရိုဂရမ်က တိုက်ခိုက်ခံရသည့်ကွန်ပျူတာတွင် ကွတ်ကီးများကို ဖျက်ပစ်လိုက်ပြီးနောက် ဝင်ရောက်ထားသည့်အကောင့်များအားလုံးကို ထွက်စေလိုက်သည်။ ထို့ကြောင့် လိမ်လည်တိုက်ခိုက်သူအနေဖြင့် အသစ်တိုက်ခိုက်ထားသောအကောင့်အတွက် စကားဝှက်ပြောင်းလဲရန် အချိန်လုံလောက်စွာ ရရှိသွားသည်။

          လူမှုကွန်ရက်ကုမ္ပဏီများအတွက် တိုက်ခိုက်ခံရသောအကောင့်များနှင့်ပတ်သက်၍ မေးလ်ပြန်ကြားရန် အချိန်အနည်းငယ်ကြာနိုင်သောကြောင့် ထိုအချက်က တိုက်ခိုက်သူများကို ၎င်းတို့တိုက်ခိုက်ရယူသွားခဲ့သောအကောင့်များဖြင့် အယောင်ဆောင်လိမ်လည်မှုများ ကျူးလွန်ရန် အချိန်ရရှိသွားစေသည်။

Complete attack chain

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

တိုက်ခိုက်လှုပ်ရှားမှုအတိုင်းအတာ

          တိုက်ခိုက်မှုကွင်းဆက်သည် အသစ်အဆန်းမဟုတ်သော်လည်း Guardio Labs မှ လေ့လာတွေ့ရှိမှုအရ တိုက်ခိုက်လှုပ်ရှားမှုအတိုင်းအတာပမာဏသည် စိုးရိမ်ဖွယ်ရာဖြစ်နေသည်။

          တစ်ပတ်လျှင် Phishing စာတို တစ်သိန်းခန့်အား မြောက်အမေရိက၊ ဥရောပ၊ ဩစတြေးလျ၊ ဂျပန်နှင့် အရှေ့တောင်အာရှရှိ Facebook သုံးသူများထံသို့ အဓိကပေးပို့ခဲ့ကြောင်း သုတေသီများက အစီရင်ခံသည်။