Những ngày gần đây, rất nhiều người dùng Facebook nhận được 1 video gửi từ bạn bè thông qua Facebook Messenger.

Nếu  tò mò mở file này lên, vô tình bạn đã biến máy tính của mình thành một  cỗ máy đào tiền ảo cho Hacker. Hậu quả là CPU của máy tính sẽ liên tục  trong tình trạng quá tải, điện năng, băng thông mạng bị tiêu tốn không  thương tiếc!

Hãy cùng mổ xẻ mã độc này để xem nó làm gì trên máy người bị nhiễm.

Đầu tiên, Static Analysis giúp chúng ta phát hiện mã độc được code bằng ngôn ngữ Autoit:

Tuyệt  vời! Công cụ Autoit Decompiler có tên Exe2Aut sẽ giúp chúng ta dịch  ngược ra source code. Đôi chút trở ngại khi đọc source code vì Hacker sử  dụng kỹ thuật obfuscate code và string encrypt. Tuy nhiên hàm mã hóa  string lại khá đơn giản:

Nên tôi quyết định convert code hàm giải mã sang Java thay vì mất công cài đặt Autoit IDE để debug.

Sau  khi giải mã toàn bộ string bị mã hóa, công việc còn lại đơn giản là đọc  hiểu mã nguồn Hacker đã viết (khoảng 3400 dòng code :)).

Đầu tiên mã độc kiểm tra kết nối tới server điều khiển (C&C), nếu không kết nối được thì thoát chương trình.

Sau đó, mã độc tải thêm ứng dụng khác về, giải nén và chạy ứng dụng đó lên.

Tại  thời điểm phân tích, Hacker đang điều khiển các máy tính bị lây nhiễm  tải về công cụ chuyên dụng để đào tiền ảo (Monero coin): XMRig CPU  Miner. Trong file cấu hình đã thiết lập sẵn tài khoản đào của Hacker:

Hacker  cũng không quên sao chép file mã độc vào thư mục %AppData% trên máy  tính nạn nhân và ghi key khởi động để đảm bảo mỗi lần nạn nhân bật máy  tính lên mã độc sẽ tự động được kích hoạt chạy.

Cuối  cùng là thực hiện chức năng phát tán mã độc bằng cách tự động gửi  “video” cho bạn bè của nạn nhân. Hacker thực hiện việc này bằng cách:

  • Tìm & thoát tiến trình chrome.exe đang chạy
  • Chạy  chrome.exe với tham số “ — enable-automation — disable-infobars —  load-extension= %ext%”, với %ext% là thư mục chứa file extension mà mã  độc tải về. Chính extension này chính là thủ phạm tự động gửi file mã  độc ẩn danh 1 video cho bạn bè của nạn nhân thông qua Facebook Messenger
  • Cẩn  thận hơn, mã độc còn thực hiện sửa file shortcut của Chrome (%AppData%  \Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google  Chrome.lnk) để load extension độc này lên mỗi khi người dùng mở trình  duyệt.

Trên  đây là toàn bộ hoạt động của mã độc. Rõ ràng, sức nóng không ngừng của  các đồng tiền ảo không chỉ thôi thúc các nhà đầu tư hành động mà nó cũng  khiến các Hacker không thể đứng yên, kéo theo cả người dùng bình thường  chẳng mấy quan tâm đến Bitcoin vào cuộc.

Nếu  bạn không may mở file “video” này lên và bị nhiễm mã độc, để ra khỏi  cuộc chơi của Hacker, tốt nhất bạn nên sử dụng 1 phần mềm quét virus uy  tín để diệt mã độc trên máy tính của mình. Tại thời điểm phân tích, phần  lớn các Antivirus “có tiếng” như Kaspersky, BitDefender, Symantec,  McAfee đều chưa thấy nhận diện. Tuy nhiên công ty Bkav cho biết họ đã  cập nhật mã nhận diện cho dòng mã độc này với tên FBCoinMiner, nên bạn  có thể sử dụng Bkav để xử lý.