Pale Moon ပရောဂျက်၏ ဆာဗာများထဲမှ တစ်ခုကို Malware ၏ နိဒါန်းတွင် ပြဿနာဟောင်းများ၏ မော်ကွန်းသို့ ခိုးယူခြင်း

Pale Moon browser ကိုရေးသားသူ အဝတ်မခြုံဘဲ ဗားရှင်း 27.6.2 အထိနှင့် ဗားရှင်း 27 အထိ သိမ်းဆည်းထားသည့် archive.palemoon.org ဆာဗာ၏ အပေးအယူမှုဆိုင်ရာ အချက်အလက်။ ဟက်ကာကာလအတွင်း၊ တိုက်ခိုက်သူများသည် ဆာဗာပေါ်ရှိ Windows အတွက် Pale Moon installers များဖြင့် လုပ်ဆောင်နိုင်သော ဖိုင်များအားလုံးကို malware ဖြင့် ကူးစက်ခဲ့သည်။ ပဏာမဒေတာအရ Malware အစားထိုးခြင်းကို ဒီဇင်ဘာ 2017 ရက်၊ 9 တွင် လုပ်ဆောင်ခဲ့ပြီး 2019 ခုနှစ်၊ ဇူလိုင်လ XNUMX ရက်နေ့တွင်သာ တွေ့ရှိခဲ့ခြင်းဖြစ်သည်။ သတိမပြုမိသည်မှာ တစ်နှစ်ခွဲရှိပြီဖြစ်သည်။

ပြဿနာရှိသော ဆာဗာသည် လက်ရှိတွင် အော့ဖ်လိုင်းဖြစ်နေကြောင်း စုံစမ်းသိရှိနိုင်သည်။ လက်ရှိထုတ်ဝေမှုများကို ဖြန့်ဝေထားသည့် ဆာဗာ
Pale Moon သည် မထိခိုက်ပါ၊ ပြဿနာသည် မော်ကွန်းတိုက်မှ ထည့်သွင်းထားသည့် Windows ဗားရှင်းအဟောင်းများကိုသာ အကျိုးသက်ရောက်သည် (ဗားရှင်းအသစ်များထွက်ရှိလာသည်နှင့် အမျှ ဗားရှင်းအသစ်များကို မော်ကွန်းသို့ ရွှေ့ထားသည်)။ ဟက်ကာကာလအတွင်း ဆာဗာသည် Windows ကိုအသုံးပြုနေပြီး အော်ပရေတာ Frantech/BuyVM မှငှားရမ်းထားသော virtual machine တွင်လည်ပတ်နေပါသည်။ မည်သို့သော အားနည်းချက်ကို အသုံးချခဲ့သည်နှင့် ၎င်းသည် Windows အတွက် သီးသန့် သို့မဟုတ် လုပ်ဆောင်နေသော ပြင်ပဆာဗာအက်ပ်လီကေးရှင်းအချို့ကို ထိခိုက်မှုရှိမရှိ ရှင်းရှင်းလင်းလင်း မသိရသေးပါ။

ဝင်ရောက်ရယူပြီးနောက်၊ တိုက်ခိုက်သူများသည် Trojan ဆော့ဖ်ဝဲလ်ဖြင့် Pale Moon (တပ်ဆင်သူများနှင့် ကိုယ်တိုင်ထုတ်ယူသည့် မှတ်တမ်းများ) နှင့် ဆက်စပ်သော exe ဖိုင်အားလုံးကို ရွေးချယ်ပြီး ကူးစက်ခဲ့သည်။ Win32/ClipBanker.DYclipboard ရှိ bitcoin လိပ်စာများကို အစားထိုးခြင်းဖြင့် cryptocurrency ခိုးယူရန် ရည်ရွယ်သည်။ ဇစ်မှတ်တမ်းများအတွင်း အကောင်အထည်ဖော်နိုင်သော ဖိုင်များကို ထိခိုက်မည်မဟုတ်ပါ။ တပ်ဆင်သူအား ပြောင်းလဲမှုများအား ဖိုင်များနှင့် ပူးတွဲပါရှိသော ဒစ်ဂျစ်တယ် လက်မှတ်များ သို့မဟုတ် SHA256 hash များကို စစ်ဆေးခြင်းဖြင့် အသုံးပြုသူက ရှာဖွေတွေ့ရှိနိုင်ပါသည်။ အသုံးပြုထားသော Malware သည်လည်း အောင်မြင်ပါသည်။ ထင်ရှားသည်။ လက်ရှိ antivirus အများစု။

မေလ 26 ရက်၊ 2019 ရက်နေ့တွင်၊ တိုက်ခိုက်သူများ၏ဆာဗာတွင် လုပ်ဆောင်မှုအတွင်း (၎င်းတို့သည် ပထမအကြိမ်ဟက်ခ်ကဲ့သို့ တိုက်ခိုက်သူများဟုတ်မဟုတ် မရှင်းလင်းပါ)၊ archive.palemoon.org ၏ ပုံမှန်လုပ်ဆောင်မှုမှာ ရပ်တန့်သွားသည် - လက်ခံသူသည် မရနိုင်ပါ။ reboot လုပ်ပြီး data ပျက်စီးသွားတယ်။ ယင်းတွင် တိုက်ခိုက်မှု၏ သဘောသဘာဝကို ညွှန်ပြသော အသေးစိတ်ခြေရာခံများ ပါဝင်နိုင်သည့် စနစ်မှတ်တမ်းများ ဆုံးရှုံးခြင်းလည်း ပါဝင်သည်။ ဤပျက်ကွက်ချိန်တွင် စီမံခန့်ခွဲသူများသည် အပေးအယူလုပ်ခြင်းကို သတိမပြုမိဘဲ CentOS အခြေခံပတ်ဝန်းကျင်အသစ်ကို အသုံးပြုကာ FTP ဒေါင်းလုဒ်များကို HTTP ဖြင့် အစားထိုးကာ မှတ်တမ်းကို ပြန်လည်လုပ်ဆောင်ခဲ့သည်။ အဖြစ်အပျက်ကိုသတိမထားမိသောကြောင့်၊ ကူးစက်ပြီးသောအရန်ကူးထားသောဖိုင်များကိုဆာဗာအသစ်သို့လွှဲပြောင်းပေးခဲ့သည်။

အပေးအယူလုပ်ရသည့်အကြောင်းရင်းများကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် တိုက်ခိုက်သူများသည် hosting ဝန်ထမ်းအကောင့်သို့ စကားဝှက်ကို ခန့်မှန်းခြင်းဖြင့် ဝင်ရောက်ခွင့်ရရှိခဲ့ပြီး ဆာဗာသို့ တိုက်ရိုက်ဝင်ရောက်ခွင့်ရခြင်း၊ အခြား virtual machines များကို ထိန်းချုပ်နိုင်စေရန် hypervisor ကို တိုက်ခိုက်ခြင်း၊ web control panel ကို ဟက်ကာ၊ ဒက်စ်တော့သို့ အဝေးမှဝင်ရောက်ခွင့် အပိုင်းကို ကြားဖြတ်ခြင်း (RDP ပရိုတိုကောကို အသုံးပြုခဲ့သည်) သို့မဟုတ် Windows Server တွင် အားနည်းချက်တစ်ခုကို အသုံးချခြင်းဖြင့်။ ပြင်ပတွင် ပြန်လည်ဒေါင်းလုဒ်လုပ်ခြင်းထက် ရှိပြီးသား executable ဖိုင်များကို ပြောင်းလဲမှုများပြုလုပ်ရန် script ကိုအသုံးပြု၍ အန္တရာယ်ရှိသောလုပ်ဆောင်ချက်များကို ဆာဗာပေါ်တွင် စက်တွင်း၌ လုပ်ဆောင်ခဲ့ပါသည်။

ပရောဂျက်ရေးသားသူသည် စနစ်သို့ စီမံခန့်ခွဲသူသာ ဝင်ရောက်ခွင့်ရှိပြီး၊ ဝင်ရောက်ခွင့်ကို IP လိပ်စာတစ်ခုသာ ကန့်သတ်ထားပြီး နောက်ခံ Windows OS ကို အပ်ဒိတ်လုပ်ပြီး ပြင်ပတိုက်ခိုက်မှုများမှ ကာကွယ်ထားသည်ဟု ဆိုသည်။ တစ်ချိန်တည်းမှာပင်၊ RDP နှင့် FTP ပရိုတိုကောများကို အဝေးမှဝင်ရောက်ခွင့်အတွက် အသုံးပြုခဲ့ပြီး ဟက်ကင်းဖြစ်စေနိုင်သည့် အန္တရာယ်မကင်းသောဆော့ဖ်ဝဲလ်ကို virtual machine တွင်လွှင့်တင်ခဲ့သည်။ သို့သော်လည်း Pale Moon ၏ရေးသားသူသည် ပံ့ပိုးသူ၏ virtual machine infrastructure ၏ အကာအကွယ်မလုံလောက်မှုကြောင့် ဟက်ခ်ခံရသည်ဟု ယုံကြည်လိုပါသည် (ဥပမာ၊ တစ်ချိန်တည်းတွင်၊ ပုံမှန် virtualization စီမံခန့်ခွဲမှုမျက်နှာပြင်ကို အသုံးပြု၍ မလုံခြုံသောဝန်ဆောင်မှုပေးသူစကားဝှက်ကို ရွေးချယ်ခြင်းဖြင့်၊ ဒါဟာခဲ့ ဖောက်ထွင်းခံရ OpenSSL ဝဘ်ဆိုဒ်)။

source: opennet.ru