-
09/04/2020
-
85
-
553 bài viết
Ransomware AstraLocker 2.0 lây nhiễm thông qua tệp đính kèm Word
Gần đây, AstraLocker - một dòng ransomware ít được biết đến đã phát hành phiên bản thứ hai và trở thành công cụ cho các cuộc tấn công. Tin tặc đính kèm trực tiếp payload của mã độc vào tệp đính kèm email. Điều này không giống với những cuộc tấn công khác khiến cho mã độc dễ bị phát hiện và cảnh báo bởi các sản phẩm bảo vệ email.
Thay vì quan tâm tới việc do thám, đánh giá các tệp có giá trị thì kẻ tấn công thực hiện các cuộc tấn công bất ngờ để nhanh chóng "đốn hạ" mục tiêu.
Nhóm điều hành AstraLocker đã sử dụng một tài liệu Microsoft Word chứa một đối tượng OLE với payload ransomware có tên "WordDocumentDOC.exe". Để thực thi payload này, người dùng cần nhấp vào nút "Run" trên hộp thoại cảnh báo khi mở tài liệu, điều này làm giảm khả năng tấn công của tin tặc.
Ngoài ra, tin tặc cũng có thể chọn đóng gói file thực thi bằng cách sử dụng Safeengine Shielder v2.4.0.0. Đây là một công cụ đóng gói cũ và lỗi thời đến mức gần như không thể dịch ngược.
Sau khi kiểm tra cơ chế anti-analysis để đảm bảo rằng ransomware không chạy trên máy ảo và không có trình gỡ lỗi nào được cài đặt thì phần mềm độc hại sẽ chuẩn bị mã hóa hệ thống bằng thuật toán Curve25519. Quá trình này bao gồm việc "kill" các tiến trình ảnh hưởng tới việc mã hóa, xóa các bản sao trên ổ đĩa, dừng dịch vụ sao lưu và AV, làm trống thùng rác thay vì mã hóa nội dung.
AstraLocker dựa trên mã nguồn rò rỉ của Babuk - một chủng ransomware chưa hoàn thiện nhưng nguy hiểm đã được phát hiện vào tháng 9 năm 2021. Ngoài ra, một trong những địa chỉ ví Monero được liệt kê trong yêu cầu tiền chuộc liên kết với Chaos ransomware cho thấy kẻ chủ mưu đứng sau hai dự án ransomware này có thể là một.
Thay vì quan tâm tới việc do thám, đánh giá các tệp có giá trị thì kẻ tấn công thực hiện các cuộc tấn công bất ngờ để nhanh chóng "đốn hạ" mục tiêu.
Nhóm điều hành AstraLocker đã sử dụng một tài liệu Microsoft Word chứa một đối tượng OLE với payload ransomware có tên "WordDocumentDOC.exe". Để thực thi payload này, người dùng cần nhấp vào nút "Run" trên hộp thoại cảnh báo khi mở tài liệu, điều này làm giảm khả năng tấn công của tin tặc.
Ngoài ra, tin tặc cũng có thể chọn đóng gói file thực thi bằng cách sử dụng Safeengine Shielder v2.4.0.0. Đây là một công cụ đóng gói cũ và lỗi thời đến mức gần như không thể dịch ngược.
Sau khi kiểm tra cơ chế anti-analysis để đảm bảo rằng ransomware không chạy trên máy ảo và không có trình gỡ lỗi nào được cài đặt thì phần mềm độc hại sẽ chuẩn bị mã hóa hệ thống bằng thuật toán Curve25519. Quá trình này bao gồm việc "kill" các tiến trình ảnh hưởng tới việc mã hóa, xóa các bản sao trên ổ đĩa, dừng dịch vụ sao lưu và AV, làm trống thùng rác thay vì mã hóa nội dung.
AstraLocker dựa trên mã nguồn rò rỉ của Babuk - một chủng ransomware chưa hoàn thiện nhưng nguy hiểm đã được phát hiện vào tháng 9 năm 2021. Ngoài ra, một trong những địa chỉ ví Monero được liệt kê trong yêu cầu tiền chuộc liên kết với Chaos ransomware cho thấy kẻ chủ mưu đứng sau hai dự án ransomware này có thể là một.
Nguồn: Bleeping Computer