Phân tích mã độc đào tiền ảo phát tán qua Facebook Messenger

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 20/12/17, 06:12 PM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 519
    Đã được thích: 243
    Điểm thành tích:
    43
    Mấy hôm nay đang rất rầm rộ vụ mã độc đào tiền ảo phát tán Facebook Messenger. Mình xin viết bài phân tích để các bạn hiểu hơn về mã độc này.

    Khi bạn nhận được một file Video-xxxx.Zip của bạn bè gửi. Nếu bạn tò mò tải về, giải nén và chạy file trong đó, tại thời điểm này máy tính của bạn đã bị nhiễm mã độc.
    upload_2017-12-20_17-45-41.png

    upload_2017-12-20_16-20-1.png

    File Video.abcxyz.mp4 thực chất là file Video.abcxyz.mp4.exe nếu bạn chọn hiển thị file ẩn. File này được viết bằng ngôn ngữ AutoIT đã bị làm rối code.
    Dưới đây là một đoạn code gửi thông tin máy tính nạn nhân lên server đã bị mã hóa các xâu đầu vào.
    upload_2017-12-20_16-29-32.png

    Đây là hàm giải mã của mã độc
    upload_2017-12-20_16-32-16.png

    Sau khi giải mã, chúng ta được rất nhiều thông tin hữu ích như: địa chỉ server, tên các file cấu hình...
    upload_2017-12-20_16-31-29.png

    Khi file trên được chạy, nó sẽ tải một bộ gồm các file
    upload_2017-12-20_16-46-4.png

    Chúng ta quan tâm tới các file:
    • background.js, jquery.min.js, manifest.json: các file này là extension để cài vào trình duyệt Chrome để tiếp tục phát tán mã độc qua Facebook Messenger.
    • worker.exe, config.json: một công cụ để đào tiền ảo.
    • cherry.exe: chính là file mã độc Video.abcxyz.mp4.exe ở trên.
    Sau khi tải file thành công mã độc sẽ cài extension vào trình duyệt thông qua file shortcut trong TaskBar.

    "C:\Program Files\Google\Chrome\Application\chrome.exe" --enable-automation --disable-infobars --load-extension=C:\Users\UserName\AppData\Roaming\UserName"

    Tiếp theo mã độc sẽ đăng ký trong registry để khởi động cùng hệ thống.
    upload_2017-12-20_16-55-12.png

    Tiếp tục phân tích một số hành vi của extension:
    Đầu tiên extension sẽ query lên facebook để nhận về danh sách ID_Friend bạn bè.

    upload_2017-12-20_16-57-6.png

    Sau đó extension tiếp tục tải file mã độc để phát tán và upload lên facebook để nhận về ID_File.
    upload_2017-12-20_17-30-13.png

    Khi đã có được hai ID_Friend và ID_File. Extension sẽ phát tán mã độc đó đến các bạn bè của nạn nhân.

    Cuối cùng, thành phần đào tiền ảo worker.exe với các thông tin file trong config dưới đây.
    upload_2017-12-20_17-34-51.png
    Bài phân tích còn nhiều thiết xót, mong các bạn đóng góp, mình sẽ cập nhật bài phân tích nếu có thêm thông tin. :D
     

    Các file đính kèm:

    Chỉnh sửa cuối: 21/12/17, 09:12 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Namlasieunhan, Sugi_b3o and tmnt53 like this.
  2. NgMSon

    NgMSon Well-Known Member

    Tham gia: 22/03/17, 10:03 AM
    Bài viết: 656
    Đã được thích: 746
    Điểm thành tích:
    93
    Công cụ anh dùng để phân tích là gì ạ ??? hì hì
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 519
    Đã được thích: 243
    Điểm thành tích:
    43
    Notepad ++ xem code nhé bạn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 914
    Đã được thích: 381
    Điểm thành tích:
    83
    Cách xử lý (theo CyRadar):
    "Đối với những người đã tải và chạy file, (có thể kiểm tra lại trạng thái bị nhiễm bằng cách mở Chrome, nhập vào thanh địa chỉ : chrome://extensions/ và enter để load thử, nếu tab này tự động bị đóng thì nghĩa là máy đã bị nhiễm), tạm thời gỡ bỏ bằng cách: Vào “Start Menu” -> gõ “run” -> nhập %APPDATA% -> Tìm thư mục có tên trùng với tên user trên máy -> Xóa toàn bộ thư mục này -> Khởi động lại máy.
    Việc xóa thư mục trên sẽ giúp xóa các file độc hại ở cuộc tấn công này, bao gồm cả file extension độc, dẫn đến Chrome sẽ báo lỗi nếu mở từ Shortcut, người dùng có thể khắc phục thông báo lỗi này bằng cách: Bấm chuột phải vào Shortcut vẫn dùng để mở Chrome -> Properties -> xóa đoạn “–enable-automation –disable-infobars –load-extension=” trong ô Target -> Ok
    Ngoài ra, để gỡ bỏ toàn vẹn hơn, người dùng nên sử dụng một phần mềm diệt virus của hãng lớn. Đến nay hầu hết các phần mềm diệt virus lớn đều đã cập nhật để nhận diện được mã độc này."
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Namlasieunhan thích bài này.
  5. Namlasieunhan

    Namlasieunhan New Member

    Tham gia: 28/12/17, 09:12 PM
    Bài viết: 2
    Đã được thích: 1
    Điểm thành tích:
    3
    bác nên sửa chút chỗ "tìm thư mục có tên trùng với tên user" là "thư mục có tên 'user' ". e mới gặp trường hợp này xong
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    HustReMw thích bài này.
  6. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 519
    Đã được thích: 243
    Điểm thành tích:
    43
    còn mẫu không bác
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. Namlasieunhan

    Namlasieunhan New Member

    Tham gia: 28/12/17, 09:12 PM
    Bài viết: 2
    Đã được thích: 1
    Điểm thành tích:
    3
    Mẫu gì bác. E xóa rồi. Các thứ thì giống như bác thớt đã phân tích rồi.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. ping

    ping VIP Members

    Tham gia: 19/06/13, 09:06 AM
    Bài viết: 102
    Đã được thích: 51
    Điểm thành tích:
    48
    Chỉnh sửa cuối: 29/12/17, 03:12 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan