Tìm hiểu về mã độc gián điệp FlawedAmmyy P1

57

Gần đây , một số tờ báo online đưa thông tin về việc một mã độc mới đang điên cuồng “đánh” vào hàng loạt hệ thống ngân hàng lớn nhỏ tại Việt Nam . Hệ thống giám sát an ninh của CyRadar đã phát hiện và phân tích loại mã độc này là một biến thể mới của FlawedAmmyy . Vậy FlawedAmmyy là gì ? “Sinh vật”máy tính này hoạt động thế nào ? Bài viết này sẽ giúp các bạn hiểu biết thêm về nó .

Kết quả hình ảnh cho mã độc tấn công ngân hàng Tìm hiểu về mã độc gián điệp FlawedAmmyy P1

Câu chuyện bắt đầu từ năm 2016 khi các researcher của Proofpoint đã tìm ra một loại RAT (remote access Trojan) chưa từng được ghi nhận có tên là FlawedAmmyy , nó được sử dụng trong các cuộc tấn công có chủ đích khá lớn bằng email và hàng triệu tin nhắn . Các cuộc tấn công nhắm vào ngành công nghiệp sản xuất Ô tô cũng như nhiều thành phần khác , số lượng lớn các chiến dịch “thả” spam độc hại xuất hiện được liên kết với một threat actor ( tạm dịch tác nhân gây hại :D) TA505 , actor này đã “chịu trách nhiệm” ( như những đợt IS “chịu trách nhiệm” sau khi khủng bố) về nhiều cuộc tấn công quy mô lớn ít nhất từ năm 2014.

FlawedAmmyy xuất hiện gần đây nhất trong chiến dịch tấn công email lớn vào khoảng tháng 3 năm nay ( 2018) .Trong chiến dịch này , những tin nhắn được đính kèm file chứa  đuôi nén .url. Những tin nhắn và cả đề nghị delivery ( phân phối) chúng gửi đi từ TA505 .

Ví dụ vào ngày 5 tháng 3 năm nay , những tin nhắn được gửi đi từ các địa chỉ giả mạo domain của người nhận với chủ đề như “Receipt No 1234567” ( số này random , và từ đầu tiên có thể là “Bill” hoặc “Invoice”) và file đính kèm có tên tương tự như “Receipt1234567.zip” . Các đính kèm .Zip này chứa những file có đuôi .url với tên như là “B123456789012.url” (những chữ số là ngẫu nhiên) .

Tìm hiểu về mã độc gián điệp FlawedAmmyy P1

Tìm hiểu về mã độc gián điệp FlawedAmmyy P1

File .url được Microsoft Windows hiểu như là một dạng file “Internet Shortcut” ,  nó có thể tìm thấy trong thư mục Favorites trên hệ điều hành Windows .Loại file này có thể được tạo ra thủ công ; chúng có vai trò như là những liên kết đến các trang internet , nó sẽ tự động mở trình duyệt mặc định trên máy tính nạn nhân . Tuy nhiên , trong trường hợp này , kẻ tấn công chỉ định đường dẫn là một dạng đường dẫn sharing file:// thay vì http://. Kết quả là , hệ thống sẽ tải xuống và thực thi một file JavaScript trên giao thức SMB thay vì mở một trình duyệt web nếu người dùng click “Open” như trong hình dưới .

Tìm hiểu về mã độc gián điệp FlawedAmmyy P1

JavaScript này sẽ lần lượt tải xuống một loại Trojan là Quant Loader , trong trường hợp này nó tìm nạp RAT FlawedAmmyy như là payload cuối cùng . Việc sử dụng file .url và giao thức SMB thường không thông dụng , đây là lần đầu tiên các chuyên gia thấy được những phương thức kết hợp này .

BÌNH LUẬN

Please enter your comment!
Please enter your name here