Phân tích mã độc đào tiền ảo phát tán qua Facebook Messenger

H

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Phân tích mã độc đào tiền ảo phát tán qua Facebook Messenger
H
Mấy hôm nay đang rất rầm rộ vụ mã độc đào tiền ảo phát tán Facebook Messenger. Mình xin viết bài phân tích để các bạn hiểu hơn về mã độc này.

1700119448621.png

Khi bạn nhận được một file Video-xxxx.Zip của bạn bè gửi. Nếu bạn tò mò tải về, giải nén và chạy file trong đó, tại thời điểm này máy tính của bạn đã bị nhiễm mã độc.

upload_2017-12-20_17-45-41.png


upload_2017-12-20_16-20-1.png

File Video.abcxyz.mp4 thực chất là file Video.abcxyz.mp4.exe nếu bạn chọn hiển thị file ẩn. File này được viết bằng ngôn ngữ AutoIT đã bị làm rối code.

Dưới đây là một đoạn code gửi thông tin máy tính nạn nhân lên server đã bị mã hóa các xâu đầu vào.

upload_2017-12-20_16-29-32.png

Đây là hàm giải mã của mã độc

upload_2017-12-20_16-32-16.png


Sau khi giải mã, chúng ta được rất nhiều thông tin hữu ích như: địa chỉ server, tên các file cấu hình...

upload_2017-12-20_16-31-29.png


Khi file trên được chạy, nó sẽ tải một bộ gồm các file
upload_2017-12-20_16-46-4.png

Chúng ta quan tâm tới các file:
  • background.js, jquery.min.js, manifest.json: các file này là extension để cài vào trình duyệt Chrome để tiếp tục phát tán mã độc qua Facebook Messenger.
  • worker.exe, config.json: một công cụ để đào tiền ảo.
  • cherry.exe: chính là file mã độc Video.abcxyz.mp4.exe ở trên.
Sau khi tải file thành công mã độc sẽ cài extension vào trình duyệt thông qua file shortcut trong TaskBar.

"C:\Program Files\Google\Chrome\Application\chrome.exe" --enable-automation --disable-infobars --load-extension=C:\Users\UserName\AppData\Roaming\UserName"

Tiếp theo mã độc sẽ đăng ký trong registry để khởi động cùng hệ thống.

upload_2017-12-20_16-55-12.png


Tiếp tục phân tích một số hành vi của extension:

Đầu tiên extension sẽ query lên facebook để nhận về danh sách ID_Friend bạn bè.

upload_2017-12-20_16-57-6.png


Sau đó extension tiếp tục tải file mã độc để phát tán và upload lên facebook để nhận về ID_File.

upload_2017-12-20_17-30-13.png


Khi đã có được hai ID_Friend và ID_File. Extension sẽ phát tán mã độc đó đến các bạn bè của nạn nhân.

Cuối cùng, thành phần đào tiền ảo worker.exe với các thông tin file trong config dưới đây.

upload_2017-12-20_17-34-51.png

Bài phân tích còn nhiều thiết xót, mong các bạn đóng góp, mình sẽ cập nhật bài phân tích nếu có thêm thông tin. :D
 
Chỉnh sửa lần cuối bởi người điều hành:
NgMSon
HustReMw đã viết:
Mấy hôm nay đang rất rầm rộ vụ mã độc đào tiền ảo phát tán Facebook Messenger. Mình xin viết bài phân tích để các bạn hiểu hơn về mã độc này.

Khi bạn nhận được một file Video-xxxx.Zip của bạn bè gửi. Nếu bạn tò mò tải về, giải nén và chạy file trong đó, tại thời điểm này máy tính của bạn đã bị nhiễm mã độc.
View attachment 2831

View attachment 2820

File Video.abcxyz.mp4 thực chất là file Video.abcxyz.mp4.exe nếu bạn chọn hiển thị file ẩn. File này được viết bằng ngôn ngữ AutoIT đã bị làm rối code.
Dưới đây là một đoạn code gửi thông tin máy tính nạn nhân lên server đã bị mã hóa các xâu đầu vào.
View attachment 2821

Đây là hàm giải mã của mã độc
View attachment 2823

Sau khi giải mã, chúng ta được rất nhiều thông tin hữu ích như: địa chỉ server, tên các file cấu hình...
View attachment 2822

Khi file trên được chạy, nó sẽ tải một bộ gồm các file
View attachment 2824

Chúng ta quan tâm tới các file:
  • background.js, jquery.min.js, manifest.json: các file này là extension để cài vào trình duyệt Chrome để tiếp tục phát tán mã độc qua Facebook Messenger.
  • worker.exe, config.json: một công cụ để đào tiền ảo.
  • cherry.exe: chính là file mã độc Video.abcxyz.mp4.exe ở trên.
Sau khi tải file thành công mã độc sẽ cài extension vào trình duyệt thông qua file shortcut trong TaskBar.

"C:\Program Files\Google\Chrome\Application\chrome.exe" --enable-automation --disable-infobars --load-extension=C:\Users\ThuyND\AppData\Roaming\UserName"

Tiếp theo mã độc sẽ đăng ký trong registry để khởi động cùng hệ thống.
View attachment 2827

Tiếp tục phân tích một số hành vi của extension:
Đầu tiên extension sẽ query lên facebook để nhận về danh sách ID_Friend bạn bè.

View attachment 2828

Sau đó extension tiếp tục tải file mã độc để phát tán và upload lên facebook để nhận về ID_File.
View attachment 2829

Khi đã có được hai ID_Friend và ID_File. Extension sẽ phát tán mã độc đó đến các bạn bè của nạn nhân.

Cuối cùng, thành phần đào tiền ảo worker.exe với các thông tin file trong config dưới đây.
View attachment 2830
Bài phân tích còn nhiều thiết xót, mong các bạn đóng góp, mình sẽ cập nhật bài phân tích nếu có thêm thông tin. :D
Nhấn để mở rộng...
Công cụ anh dùng để phân tích là gì ạ ??? hì hì
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
nktung
Cách xử lý (theo CyRadar):
"Đối với những người đã tải và chạy file, (có thể kiểm tra lại trạng thái bị nhiễm bằng cách mở Chrome, nhập vào thanh địa chỉ : chrome://extensions/ và enter để load thử, nếu tab này tự động bị đóng thì nghĩa là máy đã bị nhiễm), tạm thời gỡ bỏ bằng cách: Vào “Start Menu” -> gõ “run” -> nhập %APPDATA% -> Tìm thư mục có tên trùng với tên user trên máy -> Xóa toàn bộ thư mục này -> Khởi động lại máy.
Việc xóa thư mục trên sẽ giúp xóa các file độc hại ở cuộc tấn công này, bao gồm cả file extension độc, dẫn đến Chrome sẽ báo lỗi nếu mở từ Shortcut, người dùng có thể khắc phục thông báo lỗi này bằng cách: Bấm chuột phải vào Shortcut vẫn dùng để mở Chrome -> Properties -> xóa đoạn “–enable-automation –disable-infobars –load-extension=” trong ô Target -> Ok
Ngoài ra, để gỡ bỏ toàn vẹn hơn, người dùng nên sử dụng một phần mềm diệt virus của hãng lớn. Đến nay hầu hết các phần mềm diệt virus lớn đều đã cập nhật để nhận diện được mã độc này."
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Namlasieunhan
Comment
N
nktung đã viết:
Cách xử lý (theo CyRadar):
"Đối với những người đã tải và chạy file, (có thể kiểm tra lại trạng thái bị nhiễm bằng cách mở Chrome, nhập vào thanh địa chỉ : chrome://extensions/ và enter để load thử, nếu tab này tự động bị đóng thì nghĩa là máy đã bị nhiễm), tạm thời gỡ bỏ bằng cách: Vào “Start Menu” -> gõ “run” -> nhập %APPDATA% -> Tìm thư mục có tên trùng với tên user trên máy -> Xóa toàn bộ thư mục này -> Khởi động lại máy.
Việc xóa thư mục trên sẽ giúp xóa các file độc hại ở cuộc tấn công này, bao gồm cả file extension độc, dẫn đến Chrome sẽ báo lỗi nếu mở từ Shortcut, người dùng có thể khắc phục thông báo lỗi này bằng cách: Bấm chuột phải vào Shortcut vẫn dùng để mở Chrome -> Properties -> xóa đoạn “–enable-automation –disable-infobars –load-extension=” trong ô Target -> Ok
Ngoài ra, để gỡ bỏ toàn vẹn hơn, người dùng nên sử dụng một phần mềm diệt virus của hãng lớn. Đến nay hầu hết các phần mềm diệt virus lớn đều đã cập nhật để nhận diện được mã độc này."
Nhấn để mở rộng...
bác nên sửa chút chỗ "tìm thư mục có tên trùng với tên user" là "thư mục có tên 'user' ". e mới gặp trường hợp này xong
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: HustReMw
Comment
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Phân tích tĩnh ứng dụng Android với APKHunt
  • Phân tích mã độc Windows cơ bản - Phần V
  • Basic Malware Analysis - Phần 1
  • Phân tích mã độc windows cơ bản - phần IV
  • Phân tích mã độc windows cơ bản - phần III
  • Phân tích mã độc windows cơ bản - Phần II
    • Bên trên