Ransomware GandCrab và virus Ursnif lây lan thông qua MS Word

Ransomware GandCrab và virus Ursnif lây lan thông qua MS Word

January 28, 2019 | vietsunshine

Các nhà nghiên cứu bảo mật đã phát hiện ra hai chiến dịch phần mềm độc hại riêng biệt, một trong số đó là phân phối trojan đánh cắp dữ liệu Ursnif và ransomware GandCrab, chiến dịch thứ hai chỉ lây nhiễm nạn nhân với phần mềm độc hại Ursnif.

Mặc dù cả hai chiến dịch phần mềm độc hại dường như là một tác phẩm của hai nhóm tội phạm mạng riêng biệt, chúng tôi tìm thấy nhiều điểm tương đồng trong đó. Cả hai cuộc tấn công đều bắt đầu từ các email lừa đảo có chứa tài liệu Microsoft Word đính kèm được nhúng với các macro độc hại và sau đó sử dụng Powershell để phân phối fileless malware.

Ursnif là một phần mềm độc hại đánh cắp dữ liệu thường đánh cắp thông tin nhạy cảm từ các máy tính bị xâm nhập với khả năng thu thập thông tin ngân hàng, hoạt động duyệt web, thu thập tổ hợp phím, thông tin hệ thống và xử lý, triển khai thêm các backdoor.

Được phát hiện vào đầu năm ngoái, GandCrab là một mối đe dọa ransomware phổ biến, giống như mọi ransomware khác trên thị trường, mã hóa các tệp trên một hệ thống bị nhiễm và yêu cầu các nạn nhân trả tiền chuộc bằng tiền kỹ thuật số để mở khóa. Các nhà phát triển của nó yêu cầu thanh toán chủ yếu trong DASH, phức tạp hơn để theo dõi.

MS Docs + VBS macro = sự lây nhiễm Ursnif và GandCrab

Chiến dịch phần mềm độc hại đầu tiên phân phối hai mối đe dọa malware được phát hiện bởi các nhà nghiên cứu bảo mật tại Carbon Black, họ đã tìm thấy khoảng 180 biến thể tài liệu MS Word trong tự nhiên nhắm mục tiêu người dùng với  macro VBS độc hại.

Nếu được thực thi thành công, macro VBS độc hại sẽ chạy tập lệnh PowerShell, sau đó sử dụng một loạt các kỹ thuật để tải xuống và thực thi cả Ursnif và GandCrab trên các hệ thống được nhắm mục tiêu.

MS Docs + VBS macro = sự lây nhiễm Ursnif và GandCrab 

Tập lệnh PowerShell được mã hóa trong base64, thực thi giai đoạn lây nhiễm tiếp theo, chịu trách nhiệm tải xuống các tải trọng phần mềm độc hại chính để compromise hệ thống.

Tải trọng đầu tiên là lớp lót PowerShell để đánh giá kiến trúc của hệ thống được nhắm mục tiêu và sau đó tải xuống một tải trọng bổ sung từ trang web Pastebin, được thực thi trong bộ nhớ, khiến các kỹ thuật chống vi-rút truyền thống khó phát hiện các hoạt động của nó.

PowerShell script này là một phiên bản của mô-đun Empire Invoke-PSInject, với rất ít sửa đổi,” các nhà nghiên cứu của Carbon Black cho biết. “Tập lệnh sẽ lấy một tệp PE [Portable Executable] được nhúng đã được mã hóa base64 và đưa nó vào quy trình PowerShell hiện tại.”

Tải trọng cuối cùng sau đó cài đặt một biến thể của ransomware GandCrab trên hệ thống của nạn nhân, khóa chúng khỏi hệ thống của họ cho đến khi họ trả tiền chuộc bằng tiền kỹ thuật số.

Trong khi đó, phần mềm độc hại cũng tải xuống một thực thi Ursnif từ một máy chủ từ xa và sau khi được thực thi, nó sẽ lấy “dấu vân tay” của hệ thống, theo dõi lưu lượng truy cập trình duyệt web để thu thập dữ liệu và sau đó gửi nó đến máy chủ chỉ huy và kiểm soát (C&C) của kẻ tấn công.

“Tuy nhiên, nhiều biến thể Ursnif đã được lưu trữ trên trang web bevendbrec[.]com trong chiến dịch này. Carbon Black đã khám phá khoảng 120 biến thể Ursnif khác nhau được lưu trữ từ các tên miền iscondisth [.]Com và bevendbrec [.]Com,” các nhà nghiên cứu nói.

MS Docs + VBS macro = Phần mềm độc hại đánh cắp dữ liệu Ursnif

Tương tự, chiến dịch phần mềm độc hại thứ hai được phát hiện bởi các nhà nghiên cứu bảo mật tại Cisco Talos sử dụng tài liệu Microsoft Word có chứa macro VBA độc hại để cung cấp một biến thể khác của phần mềm độc hại Ursnif.

Cuộc tấn công phần mềm độc hại này cũng thỏa hiệp các hệ thống được nhắm mục tiêu trong nhiều giai đoạn, bắt đầu từ email lừa đảo đến chạy các lệnh PowerShell độc hại để có được sự bền bỉ không có mã hóa, sau đó tải xuống và cài đặt virus máy tính đánh cắp dữ liệu Ursnif.

MS Docs + VBS macro = Phần mềm độc hại đánh cắp dữ liệu Ursnif

“Có ba phần trong lệnh [PowerShell]. Phần đầu tiên tạo ra một hàm mà sau này được sử dụng để giải mã PowerShell được mã hóa base64. Phần thứ hai tạo ra một mảng byte chứa DLL độc hại”, các nhà nghiên cứu Talos giải thích. “Phần thứ ba thực thi chức năng giải mã base64 được tạo trong phần đầu tiên, với chuỗi được mã hóa base64 làm tham số cho hàm. PowerShell được giải mã sau đó được thực thi bởi hàm Invoke-Expression (iex).”

Sau khi được thực thi trên máy tính nạn nhân, phần mềm độc hại sẽ thu thập thông tin từ hệ thống, đưa vào định dạng tệp CAB và sau đó gửi nó đến máy chủ chỉ huy và kiểm soát của nó qua kết nối bảo mật HTTPS.

Các nhà nghiên cứu của Talos đã công bố một danh sách các chỉ số thỏa hiệp (IOC), cùng với tên của các tên tệp tải trọng được thả trên các máy bị xâm nhập, trên bài đăng trên blog của chúng có thể giúp bạn phát hiện và ngăn chặn phần mềm độc hại Ursnif trước khi nó lây nhiễm vào mạng của bạn.

Tags: , , ,