Loading
May 22, 2023By Harry Ha

Phân tích mã độc tấn công doanh nghiệp bán hàng online

Thời gian gần đây có rất nhiều chủ doanh nghiệp bán hàng online nhận được các “yêu cầu báo giá” với cùng một cách thức. Điều này dẫn tới nghi ngờ về khả năng đang có một chiến dịch tấn công diện rộng nhắm vào các chủ doanh nghiệp này.

Bài phân tích này nhằm cung cấp cái nhìn tổng quan về mẫu mã độc tấn công doanh nghiệp bán hàng online, giải thích cách hoạt động và ảnh hưởng của nó đối với hoạt động kinh doanh của doanh nghiệp. Cảm ơn bạn X đã gửi bài phân tích chi tiết cho Cookie Hân Hoan.

Hy vọng rằng các doanh nghiệp bán hàng online có thể nhận ra tầm quan trọng của việc nâng cao bảo mật thông tin và nhận thức về mối đe dọa. Bằng cách hiểu rõ hơn về các mẫu virus và chiến thuật tấn công, các doanh nghiệp có thể đưa ra các biện pháp bảo mật hiệu quả để bảo vệ hoạt động kinh doanh của mình

Hành vi phát tán mã độc

Virus thường được gửi qua Zalo, kênh chat và hỗ trợ khách hàng rất phổ biến của các shop bán hàng online. Hacker sẽ nén tệp tin này lại thành đuôi .zip, .rar sau đó gửi cho nạn nhân.

Hacker sẽ yêu cầu nạn nhân tải về, và hướng dẫn giải nén bằng Winrar và mở file bên trong ra. Sau khi giải nén, nạn nhân sẽ nhận một file .exe hoặc .bat, .com nhưng có logo là Microsoft Excel. Đây chính là mã độc của Hacker, chỉ cần click đúp chuột hoặc chạy nó là máy bạn đã bị nhiễm.

Mẫu Virus

Mã độc nguỵ trang bằng logo của Microsoft Excel 2016 – 2017

Luồng tấn công

Tìm được 2 biến thể của mã độc này, khác nhau ở cách che giấu file thực thi hành vi cuối cùng. Tin tặc gửi tin nhắn đến các trang bán hàng, giả vờ đặt mua hàng với số lượng lớn thông qua file excel được nén lại dưới định dạng .rar.

Tin tặc yêu cầu người bán hàng tải về và mở tập tin để đọc được các thông tin về đơn hàng. Mã độc được nguỵ trang với logo của Mircosoft Excel 2016- 2017 để lừa người dùng click vào tập tin và kích hoạt mã độc.

Ở biến thể đầu tiên, tin tặc vượt qua các trình Anti-Virus cũng như Virus Total bằng cách chèn thêm rất nhiều byte 0 vào cuối để tăng kích thước lên trên 700MB, tin tặc nén tập tin thành định dạng khoảng 7MB để gửi cho nạn nhân. Trong khi đó Virus Total (công cụ quét virus online) giới hạn kích thước tải lên là 650MB, cũng như các trình Anti-Virus được thiết lập để bỏ qua các tệp có kích thước lớn, từ đó dễ dàng qua mặt được.

Ở biến thể thứ hai được phát hiện sau đó, tin tặc đã tinh vi hơn trong việc che giấu mã nguồn, mã thực thi cuối cùng được nhả sau nhiều bước mã hoá và giải mã bằng Base64, Gzip decompress, mã hoá AES, tự giải mã trong memory kết hợp cùng nhiều kỹ thuật chống dịch ngược, có một sự nâng cấp rõ rệt trong cách che giấu.

Mã độc cuối cùng được viết bằng ngôn ngữ C# nhưng lại có mã nguồn khác biệt các mẫu DuckTail năm 2022, tuy nhiên đều có chung mục tiêu là đánh cắp thông tin tài khoản và gửi dữ liệu thu được qua Telegram API.

Hành vi của mã độc

Tài khoản của Hacker là “four 9999” hoặc “Duc”, mã nguồn virus được lưu trong thư mục “C:\Users\four 9999\SRC Bot Tele\lấy raw TKQQ”.

Ảnh phân tích mã độc của J2Team và Cookie Hân Hoan

Khi virus thực thi, nó sẽ thu thập Cookie lưu trong các trình duyệt có trên máy tính bao gồm Microsoft Edge, Cốc Cốc, Google Chrome, Firefox.

Mã độc trích xuất Cookie lưu trong trình duyệt Cốc Cốc
Mã độc lấy acessToken để lấy các thông tin tài khoản liên quan đến quản cáo, admin hội nhóm, admin trang Facebook
Mã độc thiết lập kênh liên lạc bằng TelegramBotClient. Gửi dữ liệu thu thập được về kẻ tấn công thông qua Telegram.

Ảnh hưởng tới doanh nghiệp

Một mẫu virus tấn công vào doanh nghiệp bán hàng online có thể gây ra những ảnh hưởng đáng kể đối với hoạt động kinh doanh. Dưới đây là một số ảnh hưởng phổ biến mà một doanh nghiệp có thể gặp phải:

  1. Mất dữ liệu và thông tin khách hàng: Virus có thể xâm nhập vào hệ thống và lấy cắp thông tin quan trọng của khách hàng, bao gồm thông tin cá nhân, thông tin thanh toán và lịch sử mua hàng. Điều này gây thiệt hại cho lòng tin của khách hàng và có thể ảnh hưởng đến uy tín của doanh nghiệp.
  2. Gián đoạn hoạt động kinh doanh: Virus có thể làm chậm hoặc tê liệt hệ thống máy tính, gây ra sự cố và gián đoạn quy trình bán hàng và vận hành doanh nghiệp. Điều này có thể dẫn đến mất doanh thu, sự mất mát khách hàng và thiệt hại về danh tiếng.
  3. Rủi ro bảo mật tài khoản: Virus có thể tấn công và chiếm quyền kiểm soát tài khoản Fanpage, Telegram, Zalo của doanh nghiệp. Điều này sẽ giúp các hacker thực hiện các hành vi lừa đảo, tạo ra các giao dịch gian lận.
  4. Thiệt hại tài chính: Virus có thể tấn công vào hệ thống thanh toán trực tuyến, gian lận thông qua giao dịch, hoặc mã hoá dữ liệu và yêu cầu tiền chuộc. Điều này có thể dẫn đến mất mát tài chính và ảnh hưởng xấu đến khả năng thanh toán và tín dụng của doanh nghiệp.
  5. Thiệt hại về hình ảnh và danh tiếng: Nếu doanh nghiệp không có biện pháp bảo mật đủ mạnh, việc bị tấn công bởi virus có thể khiến cho công chúng và đối tác mất niềm tin vào sự bảo mật và chất lượng của doanh nghiệp.

Để tránh những ảnh hưởng này, các doanh nghiệp cần đầu tư vào biện pháp bảo mật thông tin toàn diện, giám sát và nâng cao nhận thức về mối đe dọa bảo mật cho nhân viên

Harry Ha

Whitehat hacker, Founder at Cookie Hân Hoan, Co-founder at CyRadar, Senior Penetration Tester, OSCP, CPENT, LPT, Pentest+

svg

What do you think?

It is nice to know your opinion. Leave a comment.

Leave a reply