ComboJack – Malware (phần mềm độc hại) “trộm” tiền ảo

March 8, 2018 | vietsunshine

Một loại phần mềm độc hại vừa mới được phát hiện có khả năng đánh cắp một loạt các đồng tiền ảo bằng cách thay thế địa chỉ ví của nạn nhân với của kẻ tấn công.

Với tên gọi ComboJack, malware này theo dõi bộ nhớ tạm của người dùng và thay thế địa chỉ đích ở đó. Kỹ thuật này cũng đã được sử dụng ở hai phần mềm độc hại khác là Evrial Trojan và CryptoShuffler, nhưng mục tiêu của lần này nhắm tới nhiều loại tiền ảo.

ComboJack được Palo Alto Networks phát hiện với mục tiêu nhắm đến là các đồng tiền ảo đang “hot” vào thời điểm này bao gồm Bitcoin, Litecoin, Monero và Ethereum.

Malware này đang được phát tán thông qua các email spam nhắm tới người dùng ở Nhật và Mỹ, với một tệp PDF độc hải chứa tài liệu nhúng. Đây là tệp tin RTF khai thác CVE-2017-8579, một lỗ hổng đã được giải quyết vào tháng 9 năm 2017 sau khi được sử dụng để lâ lan phần mềm gián điệp FinFisher.

RTF liên quan đến một đối tượng được nhúng từ xa là tệp HTA có chứa các lệnh PowerShell được mã hóa. Sau khi tải xuống từ máy chủ, tệp sẽ thực hiện PowerShell để tải xuống và thực hiệp payload cuối cùng. Tệp sau khi được tải xuống sẽ thực hiện khai thác giai đoạn thứ hai, sau đó ComboJack được trích xuất.

Trước tiên, malware sẽ sao chép chính nó vào thư mục ProgramData và sau đó thúc đẩy attrib.exe được xây dựng trong Windows tool để thiết lập các thuộc tính ẩn vào hệ thống cho chính nó. Tiếp theo, phần mềm độc hại đặt một khóa registry để có thể khai thác một cách vững chắc.

Sau khi các bước trên đã hoàn thành, ComboJack bắt đầu kiểm tra nội dung của bộ nhớ tạm mỗi nữa giây để xác định xem thông tin ví tiền cho các loại tiền ảo khác nhau đã được sao chép ở đó. Khi điều đó xảy ra, malware sẽ thay thế thông tin bằng dữ liệu đã được mã hóa nhằm mục đích chuyển tiền sang ví của kẻ tấn công.

Phần mềm độc hại có thể phát hiện các địa chỉ của các loại tiền tệ crypto như Ethereum, Monero, Bitcoin, Litecoin, Qiwi, WebMoney (Ruble), WebMoney (USD), Yandex Money, và một số đồng tiền khác. Mục tiêu chính của ComboJack là nhắm đến WebMoney (USD, EUR và RUB) và Yandex Money, những hệ thống thanh toán số phổ biến.

Palo Alto Networks kết luận: “Khi giá của tiền ảo tiếp tục tăng thì có vẻ như chúng ta sẽ thấy các malware nhắm vào ngày càng trở nên mãnh liệt hơn, vì nó là cách nhanh nhất để có lợi nhuận cao nhất.”

Tags: , ,