Mã độc VBA đính kèm trong tập tin Excel (P2)

[maldet]

Bài trước: https://whitehat.vn/threads/ma-doc-vba-dinh-kem-trong-tap-tin-tin-excel.8382/
Tiếp theo bài trước, dưới đây là phân tích mẫu mã độc VBA trong tập tin Excel.
Mẫu phân tích: https://drive.google.com/open?id=0B8BN826Ekps5ck5CeWp0VTB0dVE
Kết quả Virustotal: https://virustotal.com/vi/file/898d...24a8187e1fcda895b100f157e2eb8d9dffb/analysis/

Cấu trúc của mẫu mã độc:

Mã VBA lưu trong _VBA_PROJECT_CUR/VBA/ThisWorkbook, _VBA_PROJECT_CUR/VBA/Module1 và _VBA_PROJECT_CUR/UserForm1/o. Trong VBA project có một Textbox control. Thuộc tính Text của Textbox cất giấu đoạn mã độc hại, mặc định nó được ẩn đi.

Khi tập tin Excel được mở, và chế độ Macro được kích hoạt, hàm Workbook_Open() trong ThisWorkbook. Đoạn VBA sẽ giải nén đoạn mã độc hại từ _VBA_PROJECT_CUR/UserForm1/o vào một tập tin tên là gtls.vbs và thực thi nó.

• Đoạn mã VBA giải nén mã độc vào tập tin gtls.vbs
  
• Nội dung của tập tin gtls.vbs​
  ​
• 

  

  ​

Đoạn mã trên tải về một tập tin từ địa chỉ “hxxp://****anox.comxa.com/dix/disk” và lưu vào đường dẫn "%appdata%disk.exe". Tập tin disk.exe được thực thi bằng lời gọi hàm oShell.Run.

​

Đây chính là biến thể của Strictor, một loại ransomware.

Một lần nữa, nhấn mạnh người dùng không nên mở tập tin đính kèm Office từ nguồn không tin cậy nếu không biết rõ tập tin đó là gì.