Virus phát tán qua email “đòi nợ” tấn công máy tính người dùng như thế nào?
 

Virus phát tán qua email “đòi nợ” tấn công máy tính người dùng như thế nào?

ictnews Theo chuyên gia CyRadar, trong chiến dịch tấn công qua email “đòi nợ” được phát hiện mới đây, hacker đã dùng chính file Winword.exe “sạch” để lợi dụng cài đặt mã độc bằng kỹ thuật DLL SideLoading được các hacker sử dụng nhiều thời gian gần đây để qua mặt các phần mềm diệt virus.

Hành trình chiếm máy người dùng của mã độc đính kèm email

Email đính kèm file "Hoa don tien no" có chứa mã độc được gửi tới hộp thư điện tử của độc giả N.T.H vào chiều ngày 15/5/2019.

Như ICTnews đã thông tin, chiều ngày 15/5/2019, chị N.T.H, một độc giả của ICTnews đã phản ánh thông tin chị và một số nhân viên trong cơ quan mình nhận được 1 thư điện tử từ một người lạ với tiêu đề “Hóa đơn tiền nợ!”, thư có đính kèm tệp định dạng nén “Hoa don tien no”.

Kết quả phân tích sơ bộ của chuyên gia Hà Minh Trường, Công ty cổ phần An toàn thông ty CyRadar đã chỉ ra rằng, file đính kèm thư điện tử gửi đến độc giả N.T.H có chứa mã độc. Khi người dùng giải nén file .rar đính kèm thư điện tử “đòi nợ” và chạy file được giải nén ra thì cũng đồng nghĩa với việc máy tính của họ đã bị cài mã độc, bị chiếm quyền điều khiển, nhận lệnh từ máy chủ điều khiển từ xa thông qua địa chỉ máy chủ “hxxps://api.ciscofreak[.]com/jZHP”. Lúc này, hacker có thể tùy ý ra lệnh từ xa cho máy tính của người dùng, ví dụ như xóa file, ăn trộm file…

Hành trình chiếm máy người dùng của mã độc đính kèm email

Theo các chuyên gia CyRadar, hiện chưa có nhiều hãng cung cấp giải pháp bảo mật có thể nhận diện được chiến dịch tấn công này (Ảnh minh họa: Internet)

Các chuyên gia CyRadar thời gian vừa qua đã thực hiện phân tích sâu về kỹ thuật tấn công được hacker sử dụng trong chiến dịch tấn công mạng bằng file chứa mã độc đính kèm email “đòi nợ” kể trên.

Hành trình chiếm máy người dùng của mã độc đính kèm email

Tóm tắt hành vi mã độc được hacker sử dụng.

Cụ thể, chuyên gia CyRadar Hà Minh Trường cho biết, sau khi giải nén file “.rar” đính kèm email “đòi nợ”, có 2 file với thông tin hiển thị gồm:

Hành trình chiếm máy người dùng của mã độc đính kèm email

VirusTotal nhận diện đây là file "Winword.exe" chuẩn của Microsoft

Phân tích chi tiết của file “Noi dung de nghi thanh toan. Cong hoa xa hoi chu nghia Viet Nam Doc lap tu do hanh phuc.exe”, các chuyên gia CyRadar nhận thấy, hacker đã sử dụng chính file Winword.exe “sạch” để lợi dụng cài đặt mã độc bằng kỹ thuật DLL SideLoading đang được các hacker sử dụng nhiều trong thời gian gần đây nhằm vượt qua qua các phần mềm diệt virus.

DLL SideLoading là kỹ thuật tấn công trong đó một file DLL giả mạo có thể được nạp vào bộ nhớ của ứng dụng dẫn đến thực thi mã ngoài ý muốn.

Hành trình chiếm máy người dùng của mã độc đính kèm email

VirusTotal nhận diện đây là file "Winword.exe" chuẩn của Microsoft

Hành trình chiếm máy người dùng của mã độc đính kèm email

VirusTotal nhận diện đây là file "Winword.exe" chuẩn của Microsoft

Với file “wwlib.dll”, chuyên gia CyRadar xác định, đây là file .dll mạo danh thư viện của Microsoft. File này không được tìm thấy trên Virustotal.com. “Như vậy, đây là một mã độc hoàn toàn mới mà hacker sử dụng trong chiến dịch lần này”, chuyên gia CyRadar Hà Minh Trường cho hay.

Thông tin về cách thức hoạt động của mã độc, vị chuyên gia này lý giải, hacker đã sử dụng kỹ thuật DLL SideLoading để thực hiện cài đặt mã độc.

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Cụ thể, khi nạn nhân mở file .exe cùng thư mục với wwlib.dll-fake thì file fake sẽ được load và thực thi các hành vi độc hại.

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Wwlib.dll được load vào mem và được thực thi khi mở file winword.exe

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Chuyên gia CyRadar phân tích, trước tiên, mã độc sẽ bung ra file “.doc” trong thư mục TEMP rồi thực hiện mở file đó nhằm đánh lừa người dùng

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Tiếp theo, mã độc tạo vùng mem thực thi mới và sao chép shellcode được giải mã vào chính vùng mem đó, sau đó thực thi

 
Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Mã độc tiếp tục thực hiện tạo vùng mem mới và tiếp tục giải mã và sao chép shellcode

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Sau khi tạo thread mới với vùng mem vừa sao chép shellcode, mã độc thực hiện shellcode tiếp tục giải mã địa chỉ C&C và kết nối nhận dữ liệu từ máy chủ

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

C2: "hxxps://api.ciscofreak[.]com/jZHP"

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Đọc dữ liệu trên C2 rồi lưu vào mem

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Dữ liệu mà mã độc lấy về từ C2. Mã SHA1 "5AF7A8D128C859BC78F57B855AF30C299C58D8AB". Chuyên gia Hà Minh Trường nhận định: “Nhìn vào các Byte đầu tiên thì khả năng cao đây là 1 shellcode khác mà hacker đẩy xuống”.

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Shellcode tiến hành giải mã

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Sau khi giải mã, nhận được 1 file PE mới. SHA1: "E4A84461D81341981E3BF04DE6CFB30BC0D901BC".

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Trên cơ sở phân tích shellcode được hacker đẩy xuống, chuyên gia CyRadar cho hay, tùy thuộc vào lệnh từ máy chủ điều khiển mã độc C&C mà mã độc sẽ thực hiện các hành vi độc hại khác nhau. Theo phân tích, có tất cả 76 lệnh mà hacker có thể ra lệnh cho mã độc như: đọc, ghi, thêm, sửa, xóa file bất kỳ trên hệ thống; thực thi command hệ thống từ xa; Cài cắm thêm mã độc khác; Điều khiển máy tính từ xa; thực hiện các hành vi gián điệp (đánh cắp tài khoản, nghe nén…); làm bàn đạp để lây lan sang các hệ thống khác trong mạng.

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Đáng chú ý, theo chuyên gia CyRadar, hiện chưa có nhiều hãng cung cấp giải pháp bảo mật có thể nhận diện được chiến dịch tấn công này. Vì thế, chuyên gia CyRadar khuyến nghị các quản trị mạng của doanh nghiệp, tổ chức có thể sử dụng IOC dưới đây liên quan đến chiến dịch tấn công này để phát hiện và ngăn chặn tấn công:

Hành trình chiếm máy người dùng của mã độc đính kèm email

Trước đó, trao đổi với ICTnews, chuyên gia CyRadar chia sẻ, để phòng chống hình tấn công mạng bằng mã độc được phát tán qua thư điện tử, người dùng cá nhân cần trang bị cho máy tính của mình một phần mềm phòng chống mã độc được cập nhật thường xuyên, đầy đủ.

Khi nhận được những thư điện tử có file đính kèm lạ hoặc được gửi từ các đường link qua ứng dụng chat, người dùng phải hết sức cẩn thận, tuyệt đối không không bấm vào các file này; đồng thời người dùng cũng cần lưu ý địa chỉ email của người gửi cũng như nội dung của người gửi có liên quan đến công việc của mình hay không? Nếu thư điện tử được từ người lạ thì tuyệt đối không mở.

Trường hợp người dùng đã giải nén và bấm vào file chứa mã độc, chuyên gia CyRadar khuyến nghị, việc cần làm trong trường hợp này là tạm thời cô lập máy và chuyển bộ phận IT của doanh nghiệp, tổ chức để xử lý; đồng thời cập nhật phần mềm diệt virus, gỡ bỏ mã độc hoặc cài lại máy.

 
List comment
 
Bộ TT&TT phối hợp chia sẻ dữ liệu cùng Tổng cục Thống kê
icon

Chiều 29/7, tại Hà Nội đã diễn ra lễ ký kết quy chế phối hợp giữa Bộ Thông tin & Truyền thông (TT&TT) và Tổng cục Thống kê (Bộ Kế hoạch & Đầu tư).

 
Wefinex - Bùng nổ công nghệ Blockchain - Sàn giao dịch truyền thống bị đánh bại?
icon

Với làn sóng mạnh mẽ của cuộc cách mạng công nghiệp 4.0, Blockchain trở thành một công cụ cho việc chuyển đổi số và tạo dựng nền tảng công nghệ thông tin hiện đại trong tương lai.

 
CES 2021 sẽ được tổ chức hoàn toàn online
icon

Một trong những sự kiện công nghệ lớn nhất thế giới sẽ phải thay đổi hình chức tổ chức của mình nhằm đối phó với đại dịch Covid-19.

 
Lần đầu tiên công nghệ AI giúp nhận diện từng cá thể của một loài chim
icon

Tiến sĩ người Pháp André Ferreira đã ứng dụng công nghệ trí tuệ nhân tạo (AI) giúp nhận diện các cá thể trong một loài chim, điều mà con người không thể làm được.

 
Kết nối PayGov, Bộ VHTT&DL và Quảng Ninh vượt mốc 30% dịch vụ công online mức 4
icon

Nhờ kết nối qua Cổng hỗ trợ thanh toán quốc gia PayGov, Bộ Văn hóa, Thể thao và Du lịch (VHTT&DL) và tỉnh Quảng Ninh đã hoàn thành chỉ tiêu cung cấp tối thiểu 30% dịch vụ công trực tuyến mức 4.

 
 
Ấn Độ tiếp tục cấm 47 ứng dụng Trung Quốc
icon

Hàng loạt ứng dụng Trung Quốc tiếp tục bị Ấn Độ “cấm cửa” trong bối cảnh căng thẳng giữa hai quốc gia đông dân nhất thế giới đang leo thang.  

Mờ mắt với lãi khủng, nhà đầu tư Việt bị 'hút máu' bởi tiền ảo đa cấp
icon

Dù nhận thấy rõ những rủi ro, nhiều nhà đầu tư vẫn bị mờ mắt bởi những lời hứa hẹn về lãi suất lớn. Đó cũng là lý do những mô hình “tiền ảo” đa cấp vẫn tồn tại dai dẳng tại Việt Nam.

Thêm Quảng Nam kêu gọi người dân cài ứng dụng khẩu trang điện tử Bluezone
icon

Trước việc Quảng Nam có thêm các ca mắc mới Covid-19 trong cộng đồng, UBND tỉnh này vừa đề nghị người dân trên địa bàn cài đặt, sử dụng ứng dụng khẩu trang điện tử Bluezone để được cảnh báo nguy cơ nhiễm Covid-19.

Bill Gates nhắn nhủ Elon Musk không phát ngôn linh tinh về Covid-19
icon

Tỷ phú Bill Gates cho rằng CEO Tesla Elon Musk nên gắn với lĩnh vực chuyên môn thay vì lan truyền tin thất thiệt về Covid-19.

Nóng: Facebook vừa mất ngôi công ty mạng xã hội lớn nhất thế giới
icon

Xét theo giá trị vốn hoá, Facebook lúc này không có giá trị bằng Tencent.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123