Phân tích mã độc FlawedAmmyy – P2

206

Trong phần 1 , mình đã giới thiệu sơ qua về tình hình hoạt động của mã độc FlawedAmmyy . Ở phần này chúng ta sẽ đi sâu hơn về cách thức hoạt động và những ví dụ cụ thể về hoạt động của mã độc này .

Image result for FlawedAmmyy RAT Phân tích mã độc FlawedAmmyy – P2

Vào ngày 5 tháng 3 năm nay , những tin nhắn được gửi đi từ các địa chỉ giả mạo domain của người nhận với chủ đề như “Receipt No 1234567” ( số này random , và từ đầu tiên có thể là “Bill” hoặc “Invoice”) và file đính kèm có tên tương tự như “Receipt1234567.zip” . Các đính kèm .Zip này chứa những file có đuôi .url với tên như là “B123456789012.url” (những chữ số là ngẫu nhiên) .

Phân tích mã độc FlawedAmmyy – P2

Phân tích mã độc FlawedAmmyy – P2

File .url được Microsoft Windows hiểu như là một dạng file “Internet Shortcut” ,  nó có thể tìm thấy trong thư mục Favorites trên hệ điều hành Windows .Loại file này có thể được tạo ra thủ công ; chúng có vai trò như là những liên kết đến các trang internet , nó sẽ tự động mở trình duyệt mặc định trên máy tính nạn nhân . Tuy nhiên , trong trường hợp này , kẻ tấn công chỉ định đường dẫn là một dạng đường dẫn sharing file:// thay vì http://. Kết quả là , hệ thống sẽ tải xuống và thực thi một file JavaScript trên giao thức SMB thay vì mở một trình duyệt web nếu người dùng click “Open” như trong hình dưới.

Phân tích mã độc FlawedAmmyy – P2

JavaScript này sẽ lần lượt tải xuống một loại Trojan là Quant Loader , trong trường hợp này nó tìm nạp RAT FlawedAmmyy như là payload cuối cùng . Việc sử dụng file .url và giao thức SMB thường không thông dụng , đây là lần đầu tiên các chuyên gia thấy được những phương thức kết hợp này .

Ngày 1 tháng 3 năm nay

Con RAT FlawedAmmyy đã xuất hiện vào ngày 1 tháng 3 trong một chiến dịch tấn công có chủ đích quy mô nhỏ .Những Email đính kèm file 0103_022.doc sử dụng macros (macros là gì các bạn có thể tìm hiểu từ google) để tải xuống RAT FlawedAmmyy . Trường hợp này sử dụng cùng một dịa chỉ CnC như trong cuộc tấn công sau đó 4 ngày.

Phân tích mã độc FlawedAmmyy – P2
tập tin đính kèm trong tấn công bằng FlawedAmmyy

NGÀY 16 THÁNG 1 NĂM NAY

Các chuyên gia đã phát hiện con RAT này trong một chiến dịch tấn công có sự chuẩn bị nhắm vào ngành công nghiệp sản xuất Ô tô. Những email đính kèm file 16012018.doc sử dụng macros để tải xuống con RAT FlawedAmmyy .

Còn tiếp 

Từ khóa tìm kiếm :

    • Mã độc FlawedAmmyy
    • An ninh mạng
    • Mã độc tấn công ngân hàng

BÌNH LUẬN

Please enter your comment!
Please enter your name here