GitHub
Malware သည် NetBeans ပရောဂျက်ဖိုင်များကို ခွဲခြားသိရှိနိုင်ပြီး ပရောဂျက်ဖိုင်များတွင် ၎င်း၏ကုဒ်ကို ပေါင်းထည့်ကာ JAR ဖိုင်များကို စုစည်းနိုင်မည်ဖြစ်သည်။ အလုပ် algorithm သည် အသုံးပြုသူ၏ပရောဂျက်များနှင့်အတူ NetBeans လမ်းညွှန်ကိုရှာဖွေခြင်း၊ ဤလမ်းညွှန်ရှိပရောဂျက်အားလုံးကိုရေတွက်ခြင်း၊ အန္တရာယ်ရှိသော script ကိုကူးယူခြင်းမှ အကျုံးဝင်သည်။
ကူးစက်ခံထားရသော JAR ဖိုင်ကို အခြားအသုံးပြုသူမှ ဒေါင်းလုဒ်လုပ်ပြီး စတင်သောအခါ၊ NetBeans ကိုရှာဖွေခြင်းနှင့် အန္တရာယ်ရှိသောကုဒ်ကို မိတ်ဆက်ခြင်း၏နောက်ထပ်စက်ဝိုင်းသည် ၎င်း၏စနစ်တွင် စတင်ပြန့်ပွားနေသော ကွန်ပျူတာဗိုင်းရပ်စ်များ၏ လည်ပတ်မှုပုံစံနှင့် ကိုက်ညီသည့် ၎င်း၏စနစ်တွင် စတင်ခဲ့သည်။ ကိုယ်တိုင်ဖြန့်ဝေခြင်းလုပ်ဆောင်နိုင်စွမ်းအပြင်၊ အန္တရာယ်ရှိသောကုဒ်တွင် စနစ်သို့အဝေးမှဝင်ရောက်ခွင့်ပေးရန် backdoor လုပ်ဆောင်နိုင်စွမ်းလည်းပါဝင်သည်။ အခင်းဖြစ်ပွားချိန်တွင်၊ backdoor ထိန်းချုပ်မှု (C&C) ဆာဗာများ မလှုပ်ရှားပါ။
စုစုပေါင်း၊ ထိခိုက်မှုပရောဂျက်များကို လေ့လာသောအခါ ကူးစက်မှု အမျိုးအစား ၄ မျိုးအား ဖော်ထုတ်ခဲ့သည်။ ရွေးချယ်စရာများထဲမှတစ်ခုတွင်၊ Linux တွင် backdoor ကိုအသက်သွင်းရန်အတွက်၊ အလိုအလျောက်စတင်သည့်ဖိုင် “$HOME/.config/autostart/octo.desktop” ကိုဖန်တီးခဲ့ပြီး Windows တွင် ၎င်းကိုစတင်ရန် schtasks မှတစ်ဆင့် လုပ်ဆောင်စရာများကိုစတင်ခဲ့သည်။ ဖန်တီးထားသော အခြားဖိုင်များ ပါဝင်သည်-
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
ဆော့ဖ်ဝဲရေးသားသူမှ ဖန်တီးထားသော ကုဒ်များ၊ သီးသန့်စနစ်များ၏ ပေါက်ကြားသောကုဒ်များ၊ လျှို့ဝှက်အချက်အလက်များကို ခိုးယူကာ အကောင့်များရယူရန် backdoor ကို အသုံးပြုနိုင်သည်။ GitHub မှ သုတေသီများသည် အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်ကို NetBeans တွင် ကန့်သတ်မထားဘဲ ၎င်းတို့ကို ဖြန့်ကျက်ရန် Make, MsBuild, Gradle နှင့် အခြားသော စနစ်များအပေါ် အခြေခံ၍ တည်ဆောက်မှုလုပ်ငန်းစဉ်တွင် ထည့်သွင်းထားသည့် ရေဘဝဲစကင်နာ၏ အခြားမျိုးကွဲများ ရှိနိုင်သည်ကို မဆုံးဖြတ်ပါ။
ထိခိုက်နစ်နာစေမည့် ပရောဂျက်များ၏ အမည်များကို မဖော်ပြထားသော်လည်း ၎င်းတို့သည် အလွယ်တကူ ဖြစ်နိုင်ပါသည်။
source: opennet.ru