Phân Tích Mã Độc Trên Facebook Messenger Tháng 12/2017

malware-facebook-messenger

Mấy hôm nay trên Facebook đang có con malware lây lan thông qua Messenger, lâu rồi tớ cũng không viết mấy bài phân tích kĩ thuật nên cũng ngứa tay nên kiếm thử một mẫu về phân tích viết bài chơi.

Tổng quan về con malware mới trên Facebook

Tên tập tin có dạng: video_XXX.zip hoặc sex_video_XXX.zip

Giải nén file ZIP này ra sẽ được một tập tin có tên dạng: Video.XXX.mp4.exe

Trong đó, XXX là các số ngẫu nhiên.

Tỉ lệ phát hiện từ VirusTotal32/68

Dựa theo tên định danh của một số AV và kết quả phân tích của ExeInfo PE thì tập tin EXE này được viết bằng AutoIt.

facebook-messenger-malware

Theo thông tin hành vi của con malware được phân tích bởi VirusTotal, ta có thể thấy một số hành động khả nghi:

facebook-messenger-malware


  • Tạo ra một tập tin với tên GoogleUpdater.exe - chúng ta có thể thấy tên này giả mạo trình cập nhật của trình duyệt Google Chrome.
  • Thực thi lệnh để mở trình duyệt Chrome với những tham số đặc biệt, trong đó có thể thấy con malware này vô hiệu thanh hiển thị thông tin của Chrome và cài đặt thêm một extension mới.

facebook-messenger-malware


  • Thực hiện một truy vấn HTTP tới một URL được chỉ định, sử dụng một User-Agent tùy chỉnh ("Miner"). Nghe đã thấy có vẻ dính dáng gì đó tới việc đào tiền ảo. Nhất là khi dạo này BitCoin đang khá là hot.


Dựa theo báo cáo tạo ra bởi Falcon Sandbox (v7.20) - Hybrid Analysis, chúng ta có thêm những thông tin sau:

facebook-messenger-malware

facebook-messenger-malware


facebook-messenger-malware


Quá nhiều thông tin chỉ ra rằng con malware này quả nhiên có sử dụng máy nạn nhân để đào tiền ảo.

Phân tích chi tiết malware: Downloader

Như thông tin chúng ta đã có được thì con malware này được viết bằng ngôn ngữ AutoIt (đáng buồn khi đây là một trong những ngôn ngữ tớ thích). Thực hiện việc dịch ngược bằng các công cụ phổ biến. Chúng ta có được mã nguồn đã bị Obfuscate.

facebook-messenger-malware

Tớ không mất nhiều thời gian lắm cho việc deobfuscate bằng cách tận dụng chính một hàm trong mã nguồn của con malware.

facebook-messenger-malware
standee123