Xuất hiện mã độc khai thác SettingContent-ms File

181

Trong tháng 7/2018, CyRadar đã phát hiện ra chiến dịch phát tán phần mềm độc hại nhằm vào chính công ty. Cuộc tấn công bắt đầu bằng các email có đính kèm file PDF chứa mã độc được gửi tới một thành viên trong công ty.

Cụ thể, nhân viên này nhận được hai email giống nhau và có nội dung:

Email chứa mã độc

Khai thác .SettingContent-ms

Mới đây, một nhà nghiên cứu tên là Matt Nelson đã công bố phát hiện ra việc có thể lợi dụng .SettingContent-ms của Microsoft để thực thi file nhị phân trên Windows 10 (đồng nghĩa với mã độc có thể được kích hoạt). Phát hiện này sau đó đã được gửi đến Microsoft, tuy nhiên đã bị Microsoft từ chối công nhận. Trong khi còn đang diễn ra tranh cãi xem đây là “lỗ hổng” hay không, thì CyRadar đã phát hiện ra hacker sử dụng kỹ thuật này trong mã độc thực tế.

Qua phân tích, CyRadar nhận định mã độc khai thác thành phần nhúng vào tệp .pdf là .SettingContent-ms để thực hiện tải và chạy tệp nhị phân trên Windows 10. Các tệp .SettingContent-ms đơn giản là XML và chứa các đường dẫn đến các tệp khác. SettingContent-ms có vai trò như một tệp shortcut dẫn đến các trang điều khiển trong Windows, ví dụ thực tế nó dùng là tệp shortcut để mở tới ControlPanel… Dưới đây là một ví dụ nội dung của tệp .SettingContent-ms chuẩn:

Nội dung tệp .SettingContent-ms chuẩn được sử dụng trong Windows

Nội dung trong thẻ <DeepLink> sẽ được thực thi khi tệp được mở bằng nhấp đúp. Tuy nhiên, hacker đã biết cách để lợi dụng việc này. Nội dung độc hại của tệp .SettingContent-ms được nhúng vào tệp .pdf sau khi tiến hành giải mã:

Nội dung .SettingContent-ms “độc” được nhúng vào tệp .pdf

Nội dung trong thẻ <DeepLink> đã thay đổi thành chức năng mở PowerShell có tham số. Tức là khi mở tệp PDF thì PowerShell sẽ được thực thi với tham số trên. Đoạn tham số mã độc này tải tệp update2.exe từ url hxxp://169[.]239[.]129[.]117/cal và thực thi tệp.

Phân tích mã độc sau khi được kích hoạt

Các chuyên gia của CyRadar đi sâu vào phân tích file nhị phân update2.exe, mã độc lại tiếp tục tải tệp nhị phân khác về máy nạn nhân từ url. hxxp://169[.]239[.]129[.]117/Yjdfel765Hs. Tệp này được đặt tên là wsus.exe – giống tên một tệp chuẩn tên Windows.

Đoạn mã độc thực hiện tải tệp từ một url

Sau khi tải và thực thi tệp wsus.exe, mã độc tạo thành phần khởi động cùng windows là services hoặc tạo một lịch hoạt động cho tệp độc hại này. Điều này nhằm mục duy trì hoạt động của mã độc trên máy nạn nhân kể cả khi tắt máy hoặc khởi động lại máy tính.

Đoạn mã độc tạo lịch với tên là Microsoft System Protect

Với các chức năng của các tệp nhị phân trong chiến dịch này cho phép hacker có thể thay đổi file mã độc bất kỳ từ trên server. Từ đó, hacker có thể tác động được nhiều và đa dạng vào máy nạn nhân.

Dựa vào công nghệ Malware Graph của CyRadar, chúng tôi đã phát hiện hacker chuẩn bị tổng cộng 7 tên miền mạo danh liên quan đến chiến dịch này:

Các tên miền được sử dụng trong chiến dịch

Khuyến cáo

  • Cảnh giác và kiểm tra kỹ email được nhận, các tệp hoặc link đính kèm trong các email đó;
  • Đối với người dùng cá nhân, thường xuyên cập nhật Windows Defender phiên bản mới nhất;
  • Đối với doanh nghiệp, cần sử dụng các công nghệ scan email để ngăn chặn các chiến dịch tấn công qua email. Đồng thời, sử dụng các công nghệ giám sát mạng để phát hiện kịp thời máy tính có dấu hiệu nhiễm mã độc.

Tân Tân & Mạnh Tùng – CyRadar 

Tin liên quan:
  • 19
    Shares