Đừng để Hacker biến máy tính của bạn thành “cái xẻng” đào tiền ảo
Những ngày gần đây, rất nhiều người dùng Facebook nhận được 1 video gửi từ bạn bè thông qua Facebook Messenger.
Nếu tò mò mở file này lên, vô tình bạn đã biến máy tính của mình thành một cỗ máy đào tiền ảo cho Hacker. Hậu quả là CPU của máy tính sẽ liên tục trong tình trạng quá tải, điện năng, băng thông mạng bị tiêu tốn không thương tiếc!
Hãy cùng mổ xẻ mã độc này để xem nó làm gì trên máy người bị nhiễm.
Đầu tiên, Static Analysis giúp chúng ta phát hiện mã độc được code bằng ngôn ngữ Autoit:
Tuyệt vời! Công cụ Autoit Decompiler có tên Exe2Aut sẽ giúp chúng ta dịch ngược ra source code. Đôi chút trở ngại khi đọc source code vì Hacker sử dụng kỹ thuật obfuscate code và string encrypt. Tuy nhiên hàm mã hóa string lại khá đơn giản:
Nên tôi quyết định convert code hàm giải mã sang Java thay vì mất công cài đặt Autoit IDE để debug.
Sau khi giải mã toàn bộ string bị mã hóa, công việc còn lại đơn giản là đọc hiểu mã nguồn Hacker đã viết (khoảng 3400 dòng code :)).
Đầu tiên mã độc kiểm tra kết nối tới server điều khiển (C&C), nếu không kết nối được thì thoát chương trình.
Sau đó, mã độc tải thêm ứng dụng khác về, giải nén và chạy ứng dụng đó lên.
Tại thời điểm phân tích, Hacker đang điều khiển các máy tính bị lây nhiễm tải về công cụ chuyên dụng để đào tiền ảo (Monero coin): XMRig CPU Miner. Trong file cấu hình đã thiết lập sẵn tài khoản đào của Hacker:
Hacker cũng không quên sao chép file mã độc vào thư mục %AppData% trên máy tính nạn nhân và ghi key khởi động để đảm bảo mỗi lần nạn nhân bật máy tính lên mã độc sẽ tự động được kích hoạt chạy.
Cuối cùng là thực hiện chức năng phát tán mã độc bằng cách tự động gửi “video” cho bạn bè của nạn nhân. Hacker thực hiện việc này bằng cách:
- Tìm & thoát tiến trình chrome.exe đang chạy
- Chạy chrome.exe với tham số “ — enable-automation — disable-infobars — load-extension= %ext%”, với %ext% là thư mục chứa file extension mà mã độc tải về. Chính extension này chính là thủ phạm tự động gửi file mã độc ẩn danh 1 video cho bạn bè của nạn nhân thông qua Facebook Messenger
- Cẩn thận hơn, mã độc còn thực hiện sửa file shortcut của Chrome (%AppData% \Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk) để load extension độc này lên mỗi khi người dùng mở trình duyệt.
Trên đây là toàn bộ hoạt động của mã độc. Rõ ràng, sức nóng không ngừng của các đồng tiền ảo không chỉ thôi thúc các nhà đầu tư hành động mà nó cũng khiến các Hacker không thể đứng yên, kéo theo cả người dùng bình thường chẳng mấy quan tâm đến Bitcoin vào cuộc.
Nếu bạn không may mở file “video” này lên và bị nhiễm mã độc, để ra khỏi cuộc chơi của Hacker, tốt nhất bạn nên sử dụng 1 phần mềm quét virus uy tín để diệt mã độc trên máy tính của mình. Tại thời điểm phân tích, phần lớn các Antivirus “có tiếng” như Kaspersky, BitDefender, Symantec, McAfee đều chưa thấy nhận diện. Tuy nhiên công ty Bkav cho biết họ đã cập nhật mã nhận diện cho dòng mã độc này với tên FBCoinMiner, nên bạn có thể sử dụng Bkav để xử lý.