Virus phát tán qua email “đòi nợ” tấn công máy tính người dùng như thế nào?
 

Virus phát tán qua email “đòi nợ” tấn công máy tính người dùng như thế nào?

ictnews Theo chuyên gia CyRadar, trong chiến dịch tấn công qua email “đòi nợ” được phát hiện mới đây, hacker đã dùng chính file Winword.exe “sạch” để lợi dụng cài đặt mã độc bằng kỹ thuật DLL SideLoading được các hacker sử dụng nhiều thời gian gần đây để qua mặt các phần mềm diệt virus.

Hành trình chiếm máy người dùng của mã độc đính kèm email

Email đính kèm file "Hoa don tien no" có chứa mã độc được gửi tới hộp thư điện tử của độc giả N.T.H vào chiều ngày 15/5/2019.

Như ICTnews đã thông tin, chiều ngày 15/5/2019, chị N.T.H, một độc giả của ICTnews đã phản ánh thông tin chị và một số nhân viên trong cơ quan mình nhận được 1 thư điện tử từ một người lạ với tiêu đề “Hóa đơn tiền nợ!”, thư có đính kèm tệp định dạng nén “Hoa don tien no”.

Kết quả phân tích sơ bộ của chuyên gia Hà Minh Trường, Công ty cổ phần An toàn thông ty CyRadar đã chỉ ra rằng, file đính kèm thư điện tử gửi đến độc giả N.T.H có chứa mã độc. Khi người dùng giải nén file .rar đính kèm thư điện tử “đòi nợ” và chạy file được giải nén ra thì cũng đồng nghĩa với việc máy tính của họ đã bị cài mã độc, bị chiếm quyền điều khiển, nhận lệnh từ máy chủ điều khiển từ xa thông qua địa chỉ máy chủ “hxxps://api.ciscofreak[.]com/jZHP”. Lúc này, hacker có thể tùy ý ra lệnh từ xa cho máy tính của người dùng, ví dụ như xóa file, ăn trộm file…

Hành trình chiếm máy người dùng của mã độc đính kèm email

Theo các chuyên gia CyRadar, hiện chưa có nhiều hãng cung cấp giải pháp bảo mật có thể nhận diện được chiến dịch tấn công này (Ảnh minh họa: Internet)

Các chuyên gia CyRadar thời gian vừa qua đã thực hiện phân tích sâu về kỹ thuật tấn công được hacker sử dụng trong chiến dịch tấn công mạng bằng file chứa mã độc đính kèm email “đòi nợ” kể trên.

Hành trình chiếm máy người dùng của mã độc đính kèm email

Tóm tắt hành vi mã độc được hacker sử dụng.

Cụ thể, chuyên gia CyRadar Hà Minh Trường cho biết, sau khi giải nén file “.rar” đính kèm email “đòi nợ”, có 2 file với thông tin hiển thị gồm:

Hành trình chiếm máy người dùng của mã độc đính kèm email

VirusTotal nhận diện đây là file "Winword.exe" chuẩn của Microsoft

Phân tích chi tiết của file “Noi dung de nghi thanh toan. Cong hoa xa hoi chu nghia Viet Nam Doc lap tu do hanh phuc.exe”, các chuyên gia CyRadar nhận thấy, hacker đã sử dụng chính file Winword.exe “sạch” để lợi dụng cài đặt mã độc bằng kỹ thuật DLL SideLoading đang được các hacker sử dụng nhiều trong thời gian gần đây nhằm vượt qua qua các phần mềm diệt virus.

DLL SideLoading là kỹ thuật tấn công trong đó một file DLL giả mạo có thể được nạp vào bộ nhớ của ứng dụng dẫn đến thực thi mã ngoài ý muốn.

Hành trình chiếm máy người dùng của mã độc đính kèm email

VirusTotal nhận diện đây là file "Winword.exe" chuẩn của Microsoft

Hành trình chiếm máy người dùng của mã độc đính kèm email

VirusTotal nhận diện đây là file "Winword.exe" chuẩn của Microsoft

Với file “wwlib.dll”, chuyên gia CyRadar xác định, đây là file .dll mạo danh thư viện của Microsoft. File này không được tìm thấy trên Virustotal.com. “Như vậy, đây là một mã độc hoàn toàn mới mà hacker sử dụng trong chiến dịch lần này”, chuyên gia CyRadar Hà Minh Trường cho hay.

Thông tin về cách thức hoạt động của mã độc, vị chuyên gia này lý giải, hacker đã sử dụng kỹ thuật DLL SideLoading để thực hiện cài đặt mã độc.

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Cụ thể, khi nạn nhân mở file .exe cùng thư mục với wwlib.dll-fake thì file fake sẽ được load và thực thi các hành vi độc hại.

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Wwlib.dll được load vào mem và được thực thi khi mở file winword.exe

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Chuyên gia CyRadar phân tích, trước tiên, mã độc sẽ bung ra file “.doc” trong thư mục TEMP rồi thực hiện mở file đó nhằm đánh lừa người dùng

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Tiếp theo, mã độc tạo vùng mem thực thi mới và sao chép shellcode được giải mã vào chính vùng mem đó, sau đó thực thi

 
Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Mã độc tiếp tục thực hiện tạo vùng mem mới và tiếp tục giải mã và sao chép shellcode

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Sau khi tạo thread mới với vùng mem vừa sao chép shellcode, mã độc thực hiện shellcode tiếp tục giải mã địa chỉ C&C và kết nối nhận dữ liệu từ máy chủ

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

C2: "hxxps://api.ciscofreak[.]com/jZHP"

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Đọc dữ liệu trên C2 rồi lưu vào mem

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Dữ liệu mà mã độc lấy về từ C2. Mã SHA1 "5AF7A8D128C859BC78F57B855AF30C299C58D8AB". Chuyên gia Hà Minh Trường nhận định: “Nhìn vào các Byte đầu tiên thì khả năng cao đây là 1 shellcode khác mà hacker đẩy xuống”.

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Shellcode tiến hành giải mã

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Sau khi giải mã, nhận được 1 file PE mới. SHA1: "E4A84461D81341981E3BF04DE6CFB30BC0D901BC".

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Trên cơ sở phân tích shellcode được hacker đẩy xuống, chuyên gia CyRadar cho hay, tùy thuộc vào lệnh từ máy chủ điều khiển mã độc C&C mà mã độc sẽ thực hiện các hành vi độc hại khác nhau. Theo phân tích, có tất cả 76 lệnh mà hacker có thể ra lệnh cho mã độc như: đọc, ghi, thêm, sửa, xóa file bất kỳ trên hệ thống; thực thi command hệ thống từ xa; Cài cắm thêm mã độc khác; Điều khiển máy tính từ xa; thực hiện các hành vi gián điệp (đánh cắp tài khoản, nghe nén…); làm bàn đạp để lây lan sang các hệ thống khác trong mạng.

Hành trình chiếm máy người dùng của mã độc đính kèm email

Hình ảnh mã độc gửi lệnh xuống máy nạn nhân.

Đáng chú ý, theo chuyên gia CyRadar, hiện chưa có nhiều hãng cung cấp giải pháp bảo mật có thể nhận diện được chiến dịch tấn công này. Vì thế, chuyên gia CyRadar khuyến nghị các quản trị mạng của doanh nghiệp, tổ chức có thể sử dụng IOC dưới đây liên quan đến chiến dịch tấn công này để phát hiện và ngăn chặn tấn công:

Hành trình chiếm máy người dùng của mã độc đính kèm email

Trước đó, trao đổi với ICTnews, chuyên gia CyRadar chia sẻ, để phòng chống hình tấn công mạng bằng mã độc được phát tán qua thư điện tử, người dùng cá nhân cần trang bị cho máy tính của mình một phần mềm phòng chống mã độc được cập nhật thường xuyên, đầy đủ.

Khi nhận được những thư điện tử có file đính kèm lạ hoặc được gửi từ các đường link qua ứng dụng chat, người dùng phải hết sức cẩn thận, tuyệt đối không không bấm vào các file này; đồng thời người dùng cũng cần lưu ý địa chỉ email của người gửi cũng như nội dung của người gửi có liên quan đến công việc của mình hay không? Nếu thư điện tử được từ người lạ thì tuyệt đối không mở.

Trường hợp người dùng đã giải nén và bấm vào file chứa mã độc, chuyên gia CyRadar khuyến nghị, việc cần làm trong trường hợp này là tạm thời cô lập máy và chuyển bộ phận IT của doanh nghiệp, tổ chức để xử lý; đồng thời cập nhật phần mềm diệt virus, gỡ bỏ mã độc hoặc cài lại máy.

 
List comment
 
Thủ tướng phê duyệt nhiệm vụ lập Quy hoạch hạ tầng TT&TT thời kỳ 2021-2030
icon

Ngày 8/10,Thủ tướng Chính phủ đã ra quyết định phê duyệt nhiệm vụ lập Quy hoạch hạ tầng TT&TT thời kỳ 2021 - 2030, tầm nhìn đến năm 2050. Quy hoạch hạ tầng TT&TT là một trong hai quy hoạch ngành quốc gia mà Bộ TT&TT được giao lập.

 
Mỹ điều chỉnh thị thực H-1B, nhiều hãng công nghệ bị ảnh hưởng
icon

Chính phủ Mỹ vừa công bố một số thay đổi lớn đối với chương trình thị thực H-1B, mà nhiều hãng công nghệ sử dụng để tuyển lao động tay nghề cao từ Ấn Độ và Trung Quốc.  

 
Thêm ứng dụng gọi xe Việt ra mắt thị trường
icon

Một ứng dụng gọi xe 'Make in Vietnam' mang tên viApp vừa ra mắt thị trường và tung ra nhiều chiêu để cạnh tranh với Gojek, Grab.

 
Mark Zuckerberg bị 'bêu' tên giữa tranh luận Phó Tổng thống Mỹ
icon

Quảng cáo chỉ trích Mark Zuckerberg vì cách xử lý thông tin sai sự thật và thù hận của Facebook được chiếu trên truyền hình, trong cuộc tranh luận trực tiếp giữa hai ứng viên Phó Tổng thống Mỹ.  

 
Ấn Độ ưu đãi Samsung và đối tác iPhone, kích thích sản xuất trong nước
icon

16 công ty, bao gồm Samsung, Foxconn, được nhận ưu đãi mới từ chính quyền Thủ tướng Narendra Modi để biến Ấn Độ thành trung tâm sản xuất tiếp theo của thế giới.  

 
 
Nhật Bản sắp cho phép robot đưa thư tự chạy ngoài đường
icon

Robot đưa thư tự lái đang trong quá trình chạy thử nghiệm ở Nhật Bản, có thể chở những gói hàng nặng tới 30kg với tốc độ 6km một giờ.

Nghiêm cấm đi qua cửa ETC khi xe chưa gắn thẻ thu phí điện tử
icon

Các tài xế tuyệt đối không được điều khiển xe đi vào cửa dành riêng cho thu phí điện tử không dừng (ETC) khi xe chưa gắn thẻ đầu cuối hoặc đã gắn thẻ đầu cuối nhưng tiền trong tài khoản thu phí không đủ để chi trả cho giao dịch.

CEO Microsoft: 'Làm việc ở nhà không khác gì ngủ trong giờ làm việc'
icon

CEO Microsoft mới đây có nhiều chia sẻ về những điểm trừ khi nhân viên phải làm việc từ xa trong khoảng thời gian quá dài.

Naver của Hàn Quốc bị phạt vì thao túng thuật toán tìm kiếm
icon

Gã khổng lồ tìm kiếm Hàn Quốc đã bị Cơ quan cạnh tranh công bằng Hàn Quốc (FTC) phạt 26,7 tỷ won (khoảng 23 triệu USD) vì đã thao túng thuật toán tìm kiếm của mình để hạ thấp các đối thủ.

Facebook, Twitter chặn bài viết của Tổng thống Trump về Covid-19
icon

Khẳng định Covid-19 không chết người bằng cúm mùa, bài viết của Tổng thống Mỹ Donald Trump đã bị Facebook, Twitter đồng loạt “tuýt còi”.  

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123