Cảnh báo hacker đang phát tán mã độc “Coronavirus Map” đánh cắp thông tin người dùng
Lợi dụng tình hình dịch bệnh Covid-19 đang diễn biến phúc tạp các tin tặc đã đánh vào nhu cầu nhắm bắt thông tin của người dân trên toàn thế giới để phát tán mã độc. Kẻ tấn công lừa người dùng tải xuống và chạy một phần mềm độc hại có giao diện được tải về từ một nguồn chính thống nhưng chạy ngầm một tiến trình khác.
Mẫu mã độc lần này được định danh là AZORult, một loại malware được phát hiện từ năm 2016, có chức năng thu thập dữ liệu của web browser như cookie, lịch sử duyệt web, user id, mật khẩu và cả khóa mã hóa.
Phân tích chuyên sâu
Mẫu Corona-virus-Map.com.exe
Hash: 73da2c02c6f8bfd4662dc84820dcd983
File Type: Portable Executable 32
File Info: Microsoft Visual C++ 8, Autoit
Kẻ tấn công sẽ đánh lừa người dùng tải xuống một file có tên “Corona-virus-Map.com.exe”. File này được viết bằng Autoit nên ta có thể dễ dàng decompile và lấy được source code của mã độc.
Đoạn script cho ta thấy nó sẽ tạo một thư mực ở “%APPDATA%/Z11062600” và cài đặt 2 file là “Corona.exe”, “Corona-virus-Map.com.exe” rồi khởi chạy hai file đó.
Mẫu Corona-virus-Map.com.exe
Hash: 07b819b4d602635365e361b96749ac3e
File Type: Portable Executable 32
File Info: Microsoft Visual Studio .NET
File “Corona-virus-Map.com.exe” được thả xuống máy người dùng là một file .Net, qua bóc tách và phân tích. Chức năng chủ yếu của file này là lấy dữ liệu từ “hxxps://gisanddata[.]maps.arcgis[.]com/apps/opsdashboard/index[.]html#/bda7594740fd40299423467b48e9ecf6” để hiển thị cho người dùng giao diện bản đồ lây nhiễm Covid-19 nhằm lấy lòng tin khiến người dùng không nghi ngờ.
Mẫu Corona.exe
Hash: 1beba1640f5573cbac5552ae02c38f33
File Type: Portable Executable 32
File Info: Rar archive
File “Corona.exe” khi được khởi chạy sẽ tạo ra hai file, một là Corona.bat, hai là Corona.sfx.exe. Trong đó, file bat có nội dung như sau:
@echo off
Corona.sfx.exe -p3D2oetdNuZUqQHPJmcMDDHYoqkyNVsFk9r -dC:\Windows\System32
Tiến trình của file “Corona.exe” sẽ dùng cmd để chạy file “Corona.bat” và từ đó khởi chạy “Corona.sfx.exe”. File “Corona.sfx.exe” này sẽ tạo ra và chạy một file Corona.exe nữa có chức năng tương tự như file Corona.exe đầu tiên là tạo ra và khởi chạy hai file tiếp là bin.exe và Build.exe ở thư mục “%APPDATA%/Z58538177”. Để dễ hình dung, ta có processes graph như sau:
Mẫu bin.exe
Hash: c4852ee6589252c601bc2922a35dd7da
File Type: Portable Executable 32
File Info: Borland Delphi
Đây là file thực thi chính của mã độc. Được các nhà bảo mật định danh là AZORult, một chủng loại malware chuyên đánh cắp dữ liệu. Ngay khi vào máy nạn nhân malware sẽ lấy tất cả thông tin định danh của mấy như Guid, thông tin phiên bản, username, computername rồi tự tạo một guid riêng:
Từ guid vừa tạo, mã độc dùng để Mutex để tránh cho hai chương trình malware sẽ chạy cùng lúc.
Mã độc mã hóa lại thông tin định danh mày và cũng ngay lập tức giải mã địa chỉ C&C
Mã độc kết nối tới C&C server cùng với thông tin định danh của máy nạn nhân và server trả về một lượng lớn dữ liệu
Sau khi mã độc giải mã dữ liệu tải xuống, ta có thể thấy chúng tải một danh sách các thư viện động xuống máy nạn nhân và ghi vào thư mục “%TEMP%2fda”
Mã độc liệt kê một danh sách dài giàng giạc các đường dẫn mà từ đó ta có thể xác định được mục tiêu của mã độc nhắm vào đâu. Chúng đánh căp dữ liệu của các trình duyệt như Firefox, Chrome, Chronium, Brave, Edge, Comodo, Kometa,Cococ, Opera, 360, … các trình quán lý email như Outlook, Thunderbird,… và còn nhiều phần mềm nũa. Các thư viện được tải về dùng để cung cấp các hàm cần thiết để kẻ tấn công có thể đọc dữ liệu.
Ví dụ như malware sẽ truy vấn dữ liệu profile của Outlook trong registry
Hay đánh cắp mật khẩu truy cập vào server firezilla
Ngay cả tiền ảo của nạn nhân cũng bị sờ đến
Cuối cùng, malware gửi dữ liệu thu được mã hóa chúng và gửi lại cho C&C server. Malware chạy lệnh để xóa file.
C:\\Windows\\system32\\timeout.exe 3 & del \”bin.exe\
Mẫu Build.exe
Hash: F6A5E02F46D761D3890DEBD8F2084D37 File Type: Portable Executable 32 File Info: UPX v3.0, Autoit
Có rất nhiều công cụ giúp ta có thể unpack được UPX ví dụ như CFF Explorer. File này khi thực thi sẽ tự tạo bản sao vào thư mục “%APPDATA%/amd64_netfx4-system.runti..dowsruntime.ui.xaml.Globalization.Fontgroups.exe” và khởi chạy. Cũng như dropper đầu tiên của mã độc ta chỉ cần decompile file Autoit là có thể lấy được mã nguồn
Ta tiết kiệm được rất nhiều thời gian khi mẫu mã độc này không bị obfuscated quá phức tạp. Qua quá trình phân tích và tìm kiếm thông tin, Ta có thể kết luận hoạt động chủ yếu của mẫu là đánh cắp các thông tin từ cookie của trình duyệt, đánh cắp khóa mã hóa, tắt cấu hình proxy, thay đổi thuộc tính của file để ẩn danh.
IOC
Hash
- MD5: 73da2c02c6f8bfd4662dc84820dcd983
- MD5: 07b819b4d602635365e361b96749ac3e
- MD5: 1beba1640f5573cbac5552ae02c38f33
- MD5: c4852ee6589252c601bc2922a35dd7da
- MD5: F6A5E02F46D761D3890DEBD8F2084D37
- MD5: e9dcbecca02b600ce135f7d58b8cd830
- MD5: 3cb9fc1ee05f49438455ba1aea3bca4e
Domain
- coronavirusstatus[.]space
Các bước làm sạch
- Tìm các file md5 trên tại các thư mục:
- %APPDATA%/Z11062600
- %APPDATA%/Z58538177
- %APPDATA%/amd64_netfx4-system.runti..dowsruntime.ui.xaml
- Ngắt tất cả tiến trình của các file trên (nếu có)
- Xóa tất cả các file trên (nếu có và nếu đúng mã hash)
- Xóa task scheduler link tới file Windows.Globalization.Fontgroups.exe > Ngoài ra có thể sử dụng phần mềm của các hãng diệt virus tin cậy để xử lý
Kết luận
Mức độ nguy hiểm của dịch Covid-19 là không cần bàn cãi. Kẻ xấu đang khai thác triệt để sự phổ biến của các thông tin liên quan đến coronavirus trên web và nhiều người có thể sẽ trở thành con mồi của các cuộc tấn công. Người dùng cần phải bình tĩnh bảo vệ bản thân trước virus sinh học và cả virus máy tính. > Để theo dõi bản đồ tình hình dịch an toàn người dùng nên truy cập theo trang web https://coronavirus.jhu.edu/map.html của trường đại học Johns Hopkins