Viettel Threat Intelligence cảnh báo nguy cơ một chiến dịch tấn công có chủ đích vào các ngân hàng tại Việt Nam trong thời gian gần đây.

Trong chiến dịch mới này, mã độc có chứa VBA Macro được gửi qua email Phishing với nội dung là CV tuyển dụng nộp vào vị trí "Chuyên viên khách hàng cá nhân" trong Ngân hàng, trong đó lừa người dùng click vào đường dẫn Dropbox để tải mã độc xuống thay vì đính kèm các tập tin như trước đây.

Tập tin Macro sử dụng các kĩ thuật Obfuscate cơ bản với mục đích vượt mặt không bị phát hiện bởi các giải pháp phòng chống mã độc hiện nay. Trong đó khi người dùng mở tập tin và lựa chọn bật Macro, mã độc VBA Macro sẽ thực thi và ghi một tệp mã độc VBS trong thư mục %APPDATA%\Roaming của Windows và sinh ra mã độc "propsys.dll" tại đường dẫn %APPDATA%\Local được chạy bởi tập tin chuẩn "control.exe" của Windows. Đáng chú ý, đây là kĩ thuật DLL Side Loading thường được các nhóm tấn công APT vào Việt Nam sử dụng.

Sau đó mã độc có hành vi kết nối đến máy chủ điều khiển 160.202.163[.]181 có URL là sub.journeywiki[.]com/nancy.ico. Tại thời điểm phân tích, kết nối tới máy chủ điều khiển của nó không trả về thêm kết quả. Có thể kẻ tấn công đã cấu hình lại máy chủ điều khiển sau hoàn thành giai đoạn đầu của chiến dịch tấn công.

Dấu hiệu nhận biết mã độc:

Malware C2 server:

160.202.163[.]181
sub.journeywiki[.]com

Hash IOC:

A1C3D02E6DC15A60DB495FD95A7E7FF0 - abi.vbs
23F9D25707D58C143AACCA0EDB9EA738 - ChuyenVienKhachHangCaNhan.doc       671343568B19F14745CA01BC4DD0416E81F44413 - payload prosys.dll

Host IOC:

\Users\admin\AppData\Roaming\abi.vbs                                                               \Users\admin\AppData\Local\prosys.dll                                                             \Users\admin\AppData\Local\control.exe (File Windows chuẩn nằm sai thư mục)