support.is@cmclab.net (04) 3795 8282 - 1900 571 244
Cảnh báo hacker đang phát tán mã độc “Coronavirus Map” đánh cắp thông tin người dùng
.23 Th3

Cảnh báo hacker đang phát tán mã độc “Coronavirus Map” đánh cắp thông tin người dùng

Lợi dụng tình hình dịch bệnh Covid-19 đang diễn biến phúc tạp các tin tặc đã đánh vào nhu cầu nhắm bắt thông tin của người dân trên toàn thế giới để phát tán mã độc. Kẻ tấn công lừa người dùng tải xuống và chạy một phần mềm độc hại có giao diện được tải về từ một nguồn chính thống nhưng chạy ngầm một tiến trình khác.

Mẫu mã độc lần này được định danh là AZORult, một loại malware được phát hiện từ năm 2016, có chức năng thu thập dữ liệu của web browser như cookie, lịch sử duyệt web, user id, mật khẩu và cả khóa mã hóa.

Phân tích chuyên sâu

Mẫu Corona-virus-Map.com.exe

Hash: 73da2c02c6f8bfd4662dc84820dcd983

File Type: Portable Executable 32

File Info: Microsoft Visual C++ 8, Autoit

Kẻ tấn công sẽ đánh lừa người dùng tải xuống một file có tên “Corona-virus-Map.com.exe”. File này được viết bằng Autoit nên ta có thể dễ dàng decompile và lấy được source code của mã độc.

Đoạn script cho ta thấy nó sẽ tạo một thư mực ở “%APPDATA%/Z11062600” và cài đặt 2 file là “Corona.exe”, “Corona-virus-Map.com.exe” rồi khởi chạy hai file đó.

Mẫu Corona-virus-Map.com.exe

Hash: 07b819b4d602635365e361b96749ac3e

File Type: Portable Executable 32

File Info: Microsoft Visual Studio .NET

File “Corona-virus-Map.com.exe” được thả xuống máy người dùng là một file .Net, qua bóc tách và phân tích. Chức năng chủ yếu của file này là lấy dữ liệu từ “hxxps://gisanddata[.]maps.arcgis[.]com/apps/opsdashboard/index[.]html#/bda7594740fd40299423467b48e9ecf6” để hiển thị cho người dùng giao diện bản đồ lây nhiễm Covid-19 nhằm lấy lòng tin khiến người dùng không nghi ngờ.

Mẫu Corona.exe

Hash: 1beba1640f5573cbac5552ae02c38f33

File Type: Portable Executable 32

File Info: Rar archive

File “Corona.exe” khi được khởi chạy sẽ tạo ra hai file, một là Corona.bat, hai là Corona.sfx.exe. Trong đó, file bat có nội dung như sau:

@echo off
Corona.sfx.exe -p3D2oetdNuZUqQHPJmcMDDHYoqkyNVsFk9r -dC:\Windows\System32

Tiến trình của file “Corona.exe” sẽ dùng cmd để chạy file “Corona.bat” và từ đó khởi chạy “Corona.sfx.exe”. File “Corona.sfx.exe” này sẽ tạo ra và chạy một file Corona.exe nữa có chức năng tương tự như file Corona.exe đầu tiên là tạo ra và khởi chạy hai file tiếp là bin.exe và Build.exe ở thư mục “%APPDATA%/Z58538177”. Để dễ hình dung, ta có processes graph như sau:

Mẫu bin.exe

Hash: c4852ee6589252c601bc2922a35dd7da

File Type: Portable Executable 32

File Info: Borland Delphi

Đây là file thực thi chính của mã độc. Được các nhà bảo mật định danh là AZORult, một chủng loại malware chuyên đánh cắp dữ liệu. Ngay khi vào máy nạn nhân malware sẽ lấy tất cả thông tin định danh của mấy như Guid, thông tin phiên bản, username, computername rồi tự tạo một guid riêng:

Từ guid vừa tạo, mã độc dùng để Mutex để tránh cho hai chương trình malware sẽ chạy cùng lúc.

Mã độc mã hóa lại thông tin định danh mày và cũng ngay lập tức giải mã địa chỉ C&C

Mã độc kết nối tới C&C server cùng với thông tin định danh của máy nạn nhân và server trả về một lượng lớn dữ liệu

Sau khi mã độc giải mã dữ liệu tải xuống, ta có thể thấy chúng tải một danh sách các thư viện động xuống máy nạn nhân và ghi vào thư mục “%TEMP%2fda”

Mã độc liệt kê một danh sách dài giàng giạc các đường dẫn mà từ đó ta có thể xác định được mục tiêu của mã độc nhắm vào đâu. Chúng đánh căp dữ liệu của các trình duyệt như Firefox, Chrome, Chronium, Brave, Edge, Comodo, Kometa,Cococ, Opera, 360, … các trình quán lý email như Outlook, Thunderbird,… và còn nhiều phần mềm nũa. Các thư viện được tải về dùng để cung cấp các hàm cần thiết để kẻ tấn công có thể đọc dữ liệu.

Ví dụ như malware sẽ truy vấn dữ liệu profile của Outlook trong registry

Hay đánh cắp mật khẩu truy cập vào server firezilla

 

Ngay cả tiền ảo của nạn nhân cũng bị sờ đến

Cuối cùng, malware gửi dữ liệu thu được mã hóa chúng và gửi lại cho C&C server. Malware chạy lệnh để xóa file.

C:\\Windows\\system32\\timeout.exe 3 & del \”bin.exe\

Mẫu Build.exe

Hash: F6A5E02F46D761D3890DEBD8F2084D37 File Type: Portable Executable 32 File Info: UPX v3.0, Autoit

Có rất nhiều công cụ giúp ta có thể unpack được UPX ví dụ như CFF Explorer. File này khi thực thi sẽ tự tạo bản sao vào thư mục “%APPDATA%/amd64_netfx4-system.runti..dowsruntime.ui.xaml.Globalization.Fontgroups.exe” và khởi chạy. Cũng như dropper đầu tiên của mã độc ta chỉ cần decompile file Autoit là có thể lấy được mã nguồn

Ta tiết kiệm được rất nhiều thời gian khi mẫu mã độc này không bị obfuscated quá phức tạp. Qua quá trình phân tích và tìm kiếm thông tin, Ta có thể kết luận hoạt động chủ yếu của mẫu là đánh cắp các thông tin từ cookie của trình duyệt, đánh cắp khóa mã hóa, tắt cấu hình proxy, thay đổi thuộc tính của file để ẩn danh.

IOC

Hash

  • MD5: 73da2c02c6f8bfd4662dc84820dcd983
  • MD5: 07b819b4d602635365e361b96749ac3e
  • MD5: 1beba1640f5573cbac5552ae02c38f33
  • MD5: c4852ee6589252c601bc2922a35dd7da
  • MD5: F6A5E02F46D761D3890DEBD8F2084D37
  • MD5: e9dcbecca02b600ce135f7d58b8cd830
  • MD5: 3cb9fc1ee05f49438455ba1aea3bca4e

Domain

  • coronavirusstatus[.]space

Các bước làm sạch

  • Tìm các file md5 trên tại các thư mục:
    • %APPDATA%/Z11062600
    • %APPDATA%/Z58538177
    • %APPDATA%/amd64_netfx4-system.runti..dowsruntime.ui.xaml
  • Ngắt tất cả tiến trình của các file trên (nếu có)
  • Xóa tất cả các file trên (nếu có và nếu đúng mã hash)
  • Xóa task scheduler link tới file Windows.Globalization.Fontgroups.exe > Ngoài ra có thể sử dụng phần mềm của các hãng diệt virus tin cậy để xử lý

Kết luận

Mức độ nguy hiểm của dịch Covid-19 là không cần bàn cãi. Kẻ xấu đang khai thác triệt để sự phổ biến của các thông tin liên quan đến coronavirus trên web và nhiều người có thể sẽ trở thành con mồi của các cuộc tấn công. Người dùng cần phải bình tĩnh bảo vệ bản thân trước virus sinh học và cả virus máy tính. > Để theo dõi bản đồ tình hình dịch an toàn người dùng nên truy cập theo trang web https://coronavirus.jhu.edu/map.html của trường đại học Johns Hopkins

Viết một bài

viVietnamese
en_USEnglish viVietnamese