Ursnif & Gandcrab ransomware lây lan qua macro MS Word

Hai chiến dịch mã độc vừa mới bị phát hiện, trong đó một chiến dịch lây lan Trojan đánh cắp dữ liệu Ursnif, còn một chiến dịch lây lan đồng thời cả Ursnif và GandCrab ransomware. Mặc dù hai chiến dịch có vẻ có nguồn gốc khác nhau, nhưng các nhà nghiên cứu bảo mật đã tìm được khá nhiều điểm chung trong phương thức lây lan: Hacker sẽ gửi các email giả mạo với tệp Microsoft Word đính kèm chứa các macro độc hại, sau đó sử dụng Powershell để phát tán fileless malware (mã độc nội trú).

Ursnif là một mã độc có khả năng đánh cắp thông tin nhạy cảm từ các máy tính bị xâm nhập nhằm thu thập thông tin đăng nhập ngân hàng, hoạt động trên trình duyệt web, thu thập keylog, thông tin hệ thống và xử lý và thiết lập backdoor; trong khi GandCrab là một ransomware nổi tiếng xuất hiện từ đầu năm ngoái, trường, có khả năng mã hóa các tệp trên hệ thống bị nhiễm và yêu cầu nạn nhân trả tiền chuộc bằng tiền ảo để lấy lại dữ liệu.

MS Docs + VBS macro = Phát tán Ursnif và GandCrab

Khi thực thi thành công, macro VBS độc hại sẽ chạy tập lệnh PowerShell được mã hóa theo chuẩn base64 nhằm tải xuống và thực thi cả Ursnif và GandCrab trên các hệ thống bị nhắm mục tiêu.

Đầu tiên, một trình PowerShell one-liner được chạy để đánh giá cấu ​trúc của hệ thống mục tiêu và sau đó tải xuống một payload nữa từ website Pastebin, được thực thi trong bộ nhớ để tránh sự phát hiện của các trình anti-virus thông thường.

microsoft office docs macros malware ransomware

“Tập lệnh PowerShell này là một phiên bản gần như giống hệt của mô-đun Empire Invoke-PSInject” các nhà nghiên cứu của Carbon Black cho biết. “Tập lệnh sẽ lấy một tệp PE [có thể thực thi] nhúng đã được mã hóa base64 và chèn vào quy trình PowerShell hiện tại.”

Cuối cùng một biến thể của ransomware GandCrab sẽ được cài đặt trên hệ thống của nạn nhân, mã hóa dữ liệu cho tới khi nhận được tiền chuộc.

Cùng lúc đó, Ursnif cũng sẽ được tải từ một máy chủ từ xa và theo dõi lưu lượng truy cập trình duyệt web để thu thập dữ liệu và gửi đến máy chủ C&C của hacker. Có khoảng 120 biến thể của Ursnif đã được tìm thấy được lưu trữ trên domain iscondisth [.] Com và bevendbrec [.] Com

MS Docs + VBS macro = Phát tán Ursnif

Tương tự, chiến dịch phần mã độc thứ hai cũng sử dụng tài liệu Microsoft Word có chứa macro VBA độc hại để phát tán một biến thể khác của mã độc Ursnif.

microsoft office docs macros malware

Cuộc tấn công mã độc này cũng tấn công các hệ thống theo nhiều giai đoạn, bắt đầu từ gửi email lừa đảo đến chạy các lệnh PowerShell độc hại để tải xuống và cài đặt virus đánh cắp dữ liệu Ursnif.

“Có ba phần trong lệnh [PowerShell]. Phần đầu tiên tạo ra một chức năng mà sau này sẽ được sử dụng để giải mã PowerShell (đang được mã hóa base64). Phần thứ hai tạo ra một byte array chứa DLL độc hại. Phần thứ ba thực thi chức năng giải mã base64 được tạo trong phần đầu tiên, với chuỗi được mã hóa base64 làm tham số cho hàm. PowerShell được giải mã sau đó được thực thi bởi hàm Invoke-Expression (iex).”

Sau khi được thực thi trên máy tính nạn nhân, mã độc sẽ thu thập thông tin từ hệ thống, chuyển thành định dạng tệp CAB và gửi nó đến máy chủ C&C qua kết nối bảo mật HTTPS.

Ursnif & Gandcrab ransomware lây lan qua macro MS Word
5 (100%) 1 vote