Macro trong bộ Office của Microsoft đã từng một thời làm mưa làm gió cách đây… 10-15 năm. Tại thời điểm này, hầu như ít thấy virus mới khai thác macro nữa. Nhưng có thật là Macro virus đã biến mất?
Virus lợi dụng tính năng macro trong bộ Office của Microsoft đã từng một thời làm mưa làm gió cách đây… 10-15 năm. Tại thời điểm này, hầu như ít thấy virus mới khai thác macro nữa. Cũng bởi 1 phần Microsoft và các hãng anti-virus là làm tốt hơn khả năng nhận diện các virus qua macro, thậm chí có phần mềm AV cứ thấy file .doc có macro là chặn.
Tưởng như anh em sẽ không còn cơ hội để gặp lại virus kiểu này, Vậy mà, ngày hôm qua, 12/07/2016 tại CyRadar Lab, chúng tôi lại đã có dịp gặp lại… người bạn cũ.
Kịch bản tấn công thì vẫn là hình thức lừa đảo cơ bản. Virus này núp bóng 1 email, mạo danh ngân hàng nổi tiếng của Mỹ, Morgan Chase, đính kèm 1 file .doc.
Email này được gửi từ 1 máy tính tại…. Đan Mạch.
Ban đầu, chúng tôi kỳ vọng nó sẽ là 1 file .doc khai thác lỗ hổng của MSWord. Tuy nhiên, khi phân tích, chúng tôi nhận ra rằng, nó có một đoạn mã macro viết bằng VBA. Thật bất ngờ khi gặp lại macro virus.
Chỉ có 15 phần mềm AV này phát hiện ra đây là file virus, trong tổng số 55 AV trên Virustotal
Nội dung file .doc cũng chỉ là… lừa người dùng kích hoạt Macro lên
Đoạn macro độc hại sẽ download file FrankUAE.crypted.exe xuống máy và thực thi
Đoạn mã VBA macro độc hại, thực chất làm nhiệm vụ là download FrankUAE.crypted.exe từ internet xuống và thực thi file này. Như vậy là xong nhiệm vụ của macro. Câu chuyện tiếp theo là việc của file FrankUAE.crypted.exe
FrankUAE.crypted.exe, là 1 downloader, một dạng malware chuyên dùng để download các malware khác. Tại thời điểm phân tích, có 14/55 phần mềm diệt virus phát hiện ra.
Như vậy là còn hơn 40 phần mềm AV nhận diện file này là sạch
Downloader này thực hiện tải xuống các mã độc khác từ Dropbox và sau đó thực thi các mã độc đó.
Các mã độc được thực thi này là các Trojan, tiếp tục connect lên máy chủ điều khiển để chờ lệnh
Trojan kết nối tới máy chủ điều khiển để chờ nhận lệnh
Hacker có thể thông qua trojan này để ra lệnh kiểm soát máy tính nạn nhân, ăn cắp dữ liệu nhạy cảm và thông tin riêng tư của người sử dụng.
Nguyễn Minh Đức – FHO
Tin liên quan: