សូម្បីតែហេគឃ័រខ្លួនឯងក៏អាចត្រូវគេហេគបានដែរ។ វាមានការបង្ហាញថាសម្រាប់គំរូជាច្រើននៃមេរោគ LokiBot malware អាចនឹងត្រូវធ្វើការចែកចាយនៅក្នុងជំនាន់កែប្រែមួយ (modified versions) នៃគំរូដើមនោះ នេះបើតាមអ្វីដែលអ្នកស្រាវជ្រាវបញ្ជាក់។ សម្រាប់គោលដៅទៅលើអ្នកប្រើប្រាស់ជាច្រើននៅក្នុងឆ្នាំ ២០១៥ នោះ LokiBot គឺប្រើប្រាស់សម្រាប់ការលួចទៅលើ password និង cryptocoin-wallet ដែលធ្វើការប្រមូលនូវទិន្នន័យជាច្រើននៅលើ web browsers, FTP, poker និង email clients រួមជាមួយនឹង IT administration tools ដូចជា PuTTY ។
មេរោគ LokiBot malware ត្រូវអភិវឌ្ឍ និងលក់នៅលើអនឡាញតាមរយៈឈ្មោះក្លែងក្លាយ “lokistov,” a.k.a. “Carter,” នៅលើវេទិកាហេគជាច្រើននៅក្នុងតម្លៃ $300 ប៉ុន្តែក្រោយមកមេរោគនេះដាក់លក់នៅក្នុងវេបសាយ Dark Web ដែលមានតម្លៃ $80 ប៉ុណ្ណោះ។ វាមានការជឿជាក់ថា សម្រាប់ Source Code សម្រាប់មេរោគ LokiBot ត្រូវបានទម្លាយនិងអនុញ្ញាតឱ្យអ្នកណាក៏បានធ្វើការ Compile ទៅលើ Versions នៃមេរោគនេះបាន។ អ្នកស្រាវជ្រាវម្នាក់ដែលមានឈ្មោះថា “d00rt” នៅលើ Twitter បង្ហាញថា អ្នកណាម្នាក់អាចធ្វើការផ្លាស់ប្តូរទៅលើ Patching នៅក្នុងគំរូនៃ LokiBot តាមរយៈការចូលទៅកាន់ Source Code ដែលអនុញ្ញាតឱ្យហេគឃ័រជាច្រើនទៀតធ្វើការកំណត់ទៅលើ Domains សម្រាប់ធ្វើការលួចទិន្នន័យបានផងដែរ។
ក្រុមហេគឃ័រធ្វើការចែកចាយជំនាន់នៃ “Hijacked” Versions របស់មេរោគ LokiBot
ក្រុមអ្នកស្រាវជ្រាវរកឃើញថា ទីតាំងរបស់ C&C server របស់មេរោគ Malware នេះ ហើយនេះគឺជាកន្លែងដែលទិន្នន័យអាចនឹងត្រូវផ្ញើចេញត្រូវរក្សាទុកនៅ 5 កន្លែងដែល 4 កន្លែងស្ថិតនៅក្នុងការអ៊ីនគ្រីបដោយប្រើប្រាស់នូវ Triple DES algorithm និងមួយទៀតប្រើប្រាស់នូវ XOR cipher ។ មេរោគនេះមានមុខងារមួយហៅថា “Decrypt3DESstring,” ដែលប្រើប្រាស់សម្រាប់ធ្វើការ Decrypt ទៅលើ encrypted strings និងទទួលបាននូវ URL សម្រាប់ command-and-control server ។ ក្រុមអ្នកស្រាវជ្រាវក៏វិភាគថា គំរូនៃមេរោគ LokiBot បើធៀបជាមួយនឹងជំនាន់ដំបូងនោះត្រូវរកឃើញថាមានប្រើប្រាស់ជាមួយនឹង Decrypt3DESstring function នៅក្នុងគំរូជាច្រើនដែលអាចធ្វើការកែប្រែបាន ហើយវាតែងតែបញ្ជូនតម្លៃត្រឡប់ទៅវិញចេញពី XOR-protected string ជាជាង Triple DES strings ។ ទន្ទឹមនឹងនេះផងដែរ អ្នកបង្កើតមេរោគ LokiBot ក៏បញ្ចេញនូវ version 2.0 ថ្មីនឹងលក់វានៅលើអនឡាញជាច្រើនវេទិកាផងដែរ៕
ប្រភព៖
https://thehackernews.com/2018/07/lokibot-infostealer-malware.html
