Breaking News

Cảnh giác với "Coronavirus Maps" - phần mềm độc hại đánh cắp mật khẩu trên PC

Tin tặc đang lợi dụng sự quan tâm của người dùng về đại dịch của virus SARS-COV-II gây ra căn bệnh COVID-19 để phát tán phần mềm độc hại hoặc khởi động các cuộc tấn công mạng.




Cảnh giác với "Coronavirus Maps" - phần mềm độc hại đánh cắp mật khẩu trên PC - CyberSec365.org
Cảnh giác với "Coronavirus Maps" - phần mềm độc hại đánh cắp mật khẩu trên PC - CyberSec365.org
Theo đó, các nhà nghiên cứu bảo mật mới đây đã công bố một báo cáo phân tích chi tiết về một cuộc tấn công mới nhắm vào sự tò mò của cộng đồng mạng đối với các thông tin về đại dịch SARS-COV-II đang tàn phá trên toàn thế giới.
Cụ thể, cuộc tấn công này đặc biệt nhắm vào những người đang tìm kiếm các báo cáo về sự lây lan của COVID-19 trên Internet và lừa họ tải xuống và khởi chạy một ứng dụng độc hại. Tại giao diện chính của phần mềm, nó vẫn hiển thị một bản đồ được tải từ một nguồn tin chính thống. Tuy nhiên, một tiến trình độc hại sẽ được khởi chạy ẩn trên nền máy tính.

Một mối đe dọa mới sử dụng phần mềm độc hại cũ:

Mối đe dọa này, được thiết kế để đánh cắp thông tin từ các nạn nhân vô tình, lần đầu tiên được phát hiện bởi MalwareHunterTeam vào tuần trước và hiện đã được phân tích bởi Shai Alfasi, một nhà nghiên cứu an ninh mạng tại Reason Labs.
Nó liên quan đến một phần mềm độc hại được xác định là AZORult, một phần mềm độc hại đánh cắp thông tin được phát hiện vào năm 2016. Phần mềm độc hại AZORult thu thập thông tin được lưu trữ trong trình duyệt web, đặc biệt là cookie, lịch sử duyệt web, ID người dùng, mật khẩu và thậm chí cả mật khẩu ví điện tử
Với những dữ liệu được trích xuất ra từ các trình duyệt, tội phạm mạng có thể đánh cắp số thẻ tín dụng, thông tin đăng nhập và nhiều thông tin nhạy cảm khác.
AZORult được cho là xuất phát từ các diễn đàn ngầm của Nga như một công cụ thu thập dữ liệu nhạy cảm từ máy tính. Nó đi kèm với một biến thể có khả năng tạo tài khoản quản trị viên ẩn trong các máy tính bị nhiễm để kích hoạt kết nối thông qua giao thức remote desktop (RDP).

Phân tích mẫu:




Shai Alfasi đã cung cấp các chi tiết kỹ thuật khi nghiên cứu phần mềm độc hại này, được nhúng trong tệp, thường được đặt tên là Corona-virus-Map.com.exe. Đó là một tệp Win32 EXE nhỏ với kích thước tải trọng chỉ khoảng 3,26 MB.
Khi tiến hành khởi chạy tệp sẽ mở ra một cửa sổ hiển thị nhiều thông tin khác nhau về sự lây lan của COVID-19. Ở phần trung tâm của giao diện là một "bản đồ lây nhiễm" tương tự như bản đồ được lưu trữ của Đại học Johns Hopkins, một nguồn dữ liệu hợp pháp để trực quan hóa và theo dõi các trường hợp coronavirus được báo cáo trong thời gian thực.
Số trường hợp được xác nhận ở các quốc gia khác nhau được hiển thị ở phía cạnh trái trong khi số liệu thống kê về tử vong và phục hồi ở bên phải. Cửa sổ dường như tương tác, với các tab cho nhiều thông tin liên quan khác và các liên kết đến các nguồn.
Phần mềm này hiển thị một giao diện trực quan và chuyên nghiệp nhằm khiến người dùng khó có thể nghi ngờ đây là một phần mềm độc hại. Nó sử dụng bản đồ về CoronaVirus được phát hành bởi Đại học Johns Hopkins hoặc ArcGIS. Phần mềm độc hại sử dụng một số lớp đóng gói cùng với kỹ thuật đa quy trình được truyền vào để gây khó khăn cho các nhà nghiên cứu phát hiện và phân tích. Ngoài ra, nó sử dụng một trình lập lịch tác vụ để nó có thể tiếp tục hoạt động.

Dấu hiệu lây nhiễm:

Khi tiến hành thực thi tệp Corona-virus-Map.com.exe, nó sẽ tạo ra nhiều tệp  khác nhau bao gồm Corona-virus-Map.com.exe, Corona.exe, Bin.exe, Build.exe, và Windows.Globalization.Fontgroups.exe.
Cảnh giác với "Coronavirus Maps" - phần mềm độc hại đánh cắp mật khẩu trên PC - CyberSec365.org
Cảnh giác với "Coronavirus Maps" - phần mềm độc hại đánh cắp mật khẩu trên PC - CyberSec365.org
Ngoài ra, phần mềm độc hại sửa đổi một số ít các thanh ghi trong ZoneMap và LanguageList. Một số mutexes cũng được tạo ra.
Việc thực thi phần mềm độc hại kích hoạt các quy trình sau: Bin.exe, Windows.Globalization.Fontgroups.exe và Corona-virus-Map.com.exe. Những nỗ lực này để kết nối với một số URL.
Các quy trình và URL này chỉ là một ví dụ về những gì cuộc tấn công đòi hỏi. Có nhiều tệp khác được tạo và quy trình bắt đầu. Chúng tạo ra các liên kết mạng khác nhau khi phần mềm độc hại cố gắng thu thập các loại thông tin khác nhau.

Cách thức tấn công đánh cắp thông tin:

Alfasi đã chia sẻ các thông tin chi tiết về phương pháp phân tích phần mềm độc hại trong một bài đăng trên blog trên blog Reason Security. Một chi tiết nổi bật là phân tích của ông về tiến trình Bin.exe với Ollydbg. Theo đó, tiến trình này đã viết một số thư viện liên kết động (DLL). DLL "nss3.dll" thu hút sự chú ý của Alfasi vì nss3.dll là thứ được nhắm mục tiêu bởi nhiều mối đe dọa khác nhau.
Cảnh giác với "Coronavirus Maps" - phần mềm độc hại đánh cắp mật khẩu trên PC - CyberSec365.org
Cảnh giác với "Coronavirus Maps" - phần mềm độc hại đánh cắp mật khẩu trên PC - CyberSec365.org



Alfasi đã theo dõi tải trọng API tĩnh liên quan đến nss3.dll. Các API này xuất hiện để tạo điều kiện cho việc giải mã mật khẩu đã lưu cũng như tạo dữ liệu đầu ra.
Đây là một cách tiếp cận phổ biến được sử dụng bởi những kẻ trộm dữ liệu. Tương đối đơn giản, nó chỉ thu thập dữ liệu đăng nhập từ trình duyệt web bị nhiễm và di chuyển nó vào thư mục C:\Windows\Temp. Đây là một trong những đặc điểm nổi bật của một cuộc tấn công AZORult, trong đó phần mềm độc hại trích xuất dữ liệu, tạo một ID duy nhất của máy tính bị nhiễm, áp dụng mã hóa XOR, sau đó bắt đầu chuyển dữ liệu về máy chủ điều khiển và kiểm soát (C&C).
Phần mềm độc hại thực hiện các cuộc gọi cụ thể trong nỗ lực đánh cắp dữ liệu đăng nhập từ các tài khoản trực tuyến phổ biến như Telegram và Steam.
Để nhấn mạnh, thực thi phần mềm độc hại là bước duy nhất cần thiết để nó tiến hành các quy trình đánh cắp thông tin của nó. Nạn nhân không cần phải tương tác với cửa sổ hoặc nhập thông tin nhạy cảm trong đó.
Đại Phát (Theo THN)




Không có nhận xét nào