IV. PHÂN TÍCH DỮ LIỆU

Để hình dung rõ hơn về nguy cơ ảnh hưởng của mã độc Oski đối với người dùng, VCS-TI sẽ thực hiện phân tích tập dữ liệu về một chiến dịch nổi bật của loại mã độc này được thu thập được trên Deep/Dark Web:

Rõ ràng đây là những con số khá lớn của một chiến dịch xảy ra chỉ trong vòng một tháng và phần lớn các máy bị ảnh hưởng đều đến từ một nguyên nhân chung: mã độc đánh cắp thông tin nằm trong vỏ bọc của các phần mềm không rõ nguồn gốc.

Phương thức lây nhiễm

Kẻ tấn công chuẩn bị một số lượng lớn các trang web trên để tải về các phần mềm chứa mã độc Oski. Các trang web này được thiết kế chuẩn SEO bằng các plugin hỗ trợ nhằm xuất hiện trong top đầu các kết quả tìm kiếm trên Google tại nhiều quốc gia.

H11. Các trang web được thiết kế chuẩn SEO, kết quả luôn xuất hiện trên các top đầu.

Khi nạn thực hiện tải xuống, các trang web này sẽ redirect sang nhiều host lưu trữ mã độc khác để tải về:

H12. IP 54.211.166[.]69 lưu trữ mã độc
H13. IP 3.208.26[.]195 lưu trữ mã độc
H14. IP 3.81.209[.]129 lưu trữ mã độc

Sau khi tải về, tập tin chứa mã độc thực thi có dạng:

• %number%_Main-AppInstall

• %number%_PASSWORDFILE

• Main-AppInstall.exe

H15. File nén chứa mã độc
H16. File thực thi chứa mã độc

Tuy nhiên tới thời điểm hiện tại, các IP lưu trữ đã không còn hoạt động, các trang web trên thay đổi một loạt các IP kèm nhiều chủng mã độc khác Raccoon Vidar Stealer với các dấu hiệu giống với các chiến dịch trước. VCS-TI sẽ đưa ra nhiều bài phân tích dữ liệu của các logs mã độc khác trong các series tiếp theo.

Tiếp tục đọc phần 1.3 Tại đây

Tác giả: Nhóm Viettel Threat Intelligence (VCS-TI)