Malware trong file word chạy trên cả Mac OSX và Window

Mã độc trong file word hoạt động trên cả Mac OSX và Window

Mới đây FortiGuard Labs đã tìm được 1 file word mới chứa mã thực thi Visual basic có thể hoạt động trên 2 nền tảng OS phổ biến hiện nay là MacOSX và Window.
Khi nạn nhân mở file ra sẽ có 1 popup thông báo với nạn nhân cho phép kích hoạt mã VBA kèm trong file Word.

Với các lập trình viên thì việc nhúng mã Visual Basic (một ngôn ngữ lập trình bậc cao được Microsof phát triển) vào các file văn bản là quá dễ dàng.

malware trong wold tren ca windows va macos
malware trong wold tren ca windows va macos

Khi mã độc VBA được phép thực thi chức năng AutoOpen() function sẽ được tự động gọi, việc đầu tiên là nó đọc commnet của file word.

malware trong wold tren ca windows va macos 2
malware trong wold tren ca windows va macos 2

Giá trị đoạn “comment” được mã hóa base64 và được giải mã VBA sau đây:

malware trong wold tren ca windows va macos 8

malware trong wold tren ca windows va macos 3
malware trong wold tren ca windows va macos 3

Sau khi giải mã base64 ta được 1 kịch bản code python được mô tả ở dưới:

malware trong wold tren ca windows va macos 4
malware trong wold tren ca windows va macos 4

Đoạn mã trên đã được thay đổi một chút so với đoạn mã gắn trong framework Metasploit được tìm thấy tại link:
https://github.com/rapid7/metasploi…l/source/exploits/office_word_macro/macro.vba

1. Cách thức Malware hoạt động trên MacOSX:
Như các bạn đã biết Python được Apple cài đặt sẵn lên hệ thống và điều này cho phép OS thực hiện sẵn các ứng dụng python theo mặc định.

Các kịch bản Python được giải mã từ mã hóa base64 rất rõ ràng và sau đó được thực thi trên hệ thống.

malware trong wold tren ca windows va macos 6
malware trong wold tren ca windows va macos 6

Các hằng số:
HTTP_CONNECTION_URL (https://sushi.vvlxpress.com:443/TtxCTzF1Q2gqND8gcvg-cwGEk5tPhorXkzS0gXv9-zFqsvVHxi-1804lm2zGUE31cs/) được đặt thành điểm cuối mà tập lệnh kết nối đến.

PAYLOAD_UUID được sử dụng để đánh dấu nạn nhân cho việc tiện theo dõi.
Khi tập lệnh được thực thi nó kết nối tới máy chủ: “sushi.vvlxpress.com” cổng 443 nhưng tại thời điểm phân tích không thấy máy chủ đáp trả lại yêu cầu.

malware trong wold tren ca windows va macos 7
malware trong wold tren ca windows va macos 7

Quá trình vẫn hoạt động trên máy thử nghiệm và cố gắng kết nối tới máy chủ vẫn đang online (sushi.vvlxpress.com).

Leave a Reply

Your email address will not be published. Required fields are marked *