Vào cuối năm 2017, một dạng mã độc được phát tán thông qua tin nhắn của ứng dụng mạng xã hội trực tuyến Facebook. Mã độc sẽ gửi tin nhắn đến tất cả bạn bè trong danh sách của tài khoản bị tấn công là một file có tên video_xxx.zip. Vào giữa tháng 4, một loại mã độc tương tự xuất hiện trên mạng xã hội Facebook khiến làn sóng lây lan mã độc thông qua tin nhắn Facebook lại xuất hiện. Mình cũng tham gia và một số nhóm trên Facebook và được chia sẻ mẫu mã độc này. Tiện hôm nay mình cũng phân tích mẫu mã độc để mọi người tham khảo.

Mã độc được chia sẽ trên một số nhóm trên Facebook

Mã độc được gửi thông qua tin nhắn

Khi tải về, ta nhận được file nén .bz, bên trong chứa 1 file định dạng .com được đặt tên play_xxxxxxxx.mp4 (xxxxxxxx là một số random) để đánh lừa người dùng tưởng nhầm là video.

Nội dung file nén

Chạy thử mã độc này trong môi trường ảo:

– Chrome tự động được mở, khi đóng lại thì vẫn thấy xuất hiện tiến trình chrome.exe đang chạy nền.

– Xuất hiện thêm 1 tiến trình update-x64.exe và ngốn khá nhiều tài nguyên máy. Qua icon và mức độ ngốn Ram thì có thể đây là một loại mã độc đào tiền ảo.

Mã độc thực thi trên máy ảo

– Truy cập vào thư mục C:\Users\<Username>\AppData\Roaming\<Username> chứa file update-x64.exe, mình thấy mã độc tự động tải về thêm 1 loạt file.

 Các file được tạo ra

Tiếp tục sử dụng Wireshark, lọc theo http, mình phát hiện ra được một số tên miền đáng chú ý mà mã độc kết nối đến:

Http Traffic

File 7za.exe là phiên bản command line của 7-Zip (phần mềm giải nén). Mã độc sẽ sử dụng command line để giải nén file.7z được tải về. File.7z chứa các file mà được lưu trong thư mục C:\Users\<Username>\AppData\Roaming\<Username> ở trên. File này có mật khẩu giải nén là KEQZmgbrmDnTpa2b4DHVMX (pass giải nén này được tìm thấy khi phân tích source code của chương trình ở dưới).

Giải nén file.7z thu được 5 file:

Nội dung file.7z

– 2 file update-x64.exe và update-x86.exe là tool đào tiền ảo. Những tool này hoàn toàn có thể kiếm trên mạng.

– File manifest.json chứa thông tin cơ bản và quyền hạn của extension, được chạy nền với file background.js. Trong này có nhiều quyền nhạy cảm như quản lý các tab, url, cookies…

Manifest.json

– File config.json chứa thông tin cấu hình đào coin.

Config file Coin miner

– File background.js chứa mã thực thi của extension và có cài đặt tự động đóng Chrome nếu phát hiện người dùng truy cập extension trong Chrome để ngăn chặn người dùng xóa extension này.

Đóng Chrome

3 file background.js, config.json, manifest.json là extension cho Chrome để lấy thông tin và đào coin.

Tiếp theo mình xem file facebook.js được tải từ link phía trên:

– Lấy thông tin facebook của người dùng.

Thông tin người dùng

– File mã độc được tải từ https://letask.me/ajax/7z.php?ext=me

C&C Server

– Chương trình thực hiện đặt tên file thành “video_xxxxx.bz” (xxxxx là số random trong khoảng 11111 đến 99999) sau đó upload mã độc vào các group và bạn bè đang online.

Tự động gửi thông tin cho bạn bè

Quay lại với file chính .com, kiểm tra file bằng Exeinfo PE, mình phát hiện chương trình được viết bằng Autoit3.

Thông tin file .com

Sử dụng Exe2Aut để decompile, Lấy ra được code của chương trình nhưng đã obfuscated.

File play_87690571.mp4.com

2 chuỗi được khai báo ngay từ đầu chương trình. Trace tiếp thấy 2 chuỗi này được sử dụng ở 1 hàm, hàm này được sử dụng nhiều lần trong chương trình. Đây là hàm decrypt để giải mã.

Decrypt function

Chèn thêm vài câu lệnh để lấy chuỗi giải mã lưu ra file.

Thực hiện deobfuscate source code:

Deofucation function

Đầu tiên, mã độc kiểm tra kết nối internet bằng cách Ping tới google.com, nếu Ping thành công sẽ tiếp tục kiểm tra mã độc đã tồn tại trong máy hay chưa? Nếu chưa, mã độc sẽ tiến hành cài đặt vào máy.

Ping google

CheckRegistry

Dowload file mã độc

Mã độc thực hiện cài đặt vào máy tính nếu chưa tồn tại:

Tạo key HKCU\Software\Unzip\Installed value “Yes”.

Ghi Registry

Kết nối đến Server.

Kết nối server

Lấy đường dẫn thư mục C:\Users\<Username>\AppData\Roaming\<Username>

Tải và giải nén mã độc với command line: 7za.exe e files.7z -aoa -pKEQZmgbrmDnTpa2b4DHVMX (pKEQZmgbrmDnTpa2b4DHVMX chính là password của file nén).

Extract file 7z

Tự động copy chính nó đến thư mục C:\Users\<Username>\AppData\Roaming (hay %appdata%).

Ghi file vào thư mục Appdata

Đóng chrome

Kill Chrome

Thêm một số registry key để mã độc khởi động cùng Windows.

Ghi thêm Registry

Mở chrome và tạo Miner để đào coin.

Open Chrome

Run tool coin miner

Thực hiện ghi đè tất cả các shortcut và cài đặt chrome với đối số –enable-automation –restore-last-session –disable-infobars –load-extension=<thư mục mã độc> để Chrome chạy extension của mã độc.

Ghi đè Shortcut

Qua phân tích ở trên, có thể thấy mã độc này nhắm đến người dùng sử dụng hệ điều hành Windows và trình duyệt Chrome nhằm đánh cắp thông tin người dùng và đào tiền ảo.

Tên file play_87690571.mp4.com
MD5 81a2136c60d4ea7e6170c9c9c3a0c266
SHA1 0ef4389e657971e4d90c3ba43f98752df986b796
File liên quan 7za.exe

app.exe

file.7z

update-x64.exe

update-x86.exe

background.js

manfest.json

config.json

Tên miền liên quan http://luru.icu/app/files.7z?id=1641

http://luru.icu/app/7za.exe?id=2092

http://keke.icu/js/facebook.js?1556110229686

http://keke.icu/js/twitter.js?1556110229688

File size 987 KB (1,011,200 bytes)

 

Tên mã độc play_xxx.mp4.com
Mục đích Lấy thông tin người dùng, đào tiền ảo Monero thông qua Chrome
Cách lây lan Lây lan qua tin nhắn và group thông qua tài khoản facebook của người dùng
Cách khắc phục
  • Xóa các file liên quan trong thư mục %appdata%/<Username>
  • Gỡ bỏ process update-x64.exe (hoặc update-x32.exe) chạy ngầm
  • Gỡ bỏ process update-x64.exe (hoặc update-x32.exe) chạy ngầm
  • Xóa extension độc qua đường dẫn %LocalAppData%\Google\Chrome\User Data\Default\Extensions
Cách phòng tránh
  • Đề cao cảnh giác các với các file bất thường được chia sẻ qua mạng xã hội.
  • Cài đặt thêm một số extension bảo vệ cho Chrome nhằm tránh mã độc và trang web lừa đảo.
1.330 lượt xem