Đây là mã độc khiến bạn bị mất tiền mã hóa - Mã độc Hijacking Clipboard

tgnd

Moderator
Thành viên BQT
18/08/2021
45
73 bài viết
Đây là mã độc khiến bạn bị mất tiền mã hóa - Mã độc Hijacking Clipboard
Chào 500 anh em, lại là mình mod tgnd đây. Chuyện sẽ chẳng có gì nếu thằng em Từa mình nó không bảo là máy nó cứ copy địa chỉ ví bitcoin một đằng xong lúc paste lại ra một nẻo. Chắc do thanh niên chơi tiền ảo cũng hay cài cắm linh tinh. Vì vậy chúng ta cùng tìm hiểu xem cụ thể như thế nào nhé. Bắt đầu thôi!

hij.jpg

Đầu tiên mời các bạn theo dõi hiện tượng cùng mình nhé:


Nói qua một chút về tiền ảo, tiền điện tử và cách nó hoạt động:
Các tài khoản tiền điện tử được đại diện bởi một địa chỉ ví duy nhất. Bitcoin và nhiều loại tiền tệ khác sử dụng địa chỉ 25 byte kết hợp với thuật toán Base58.
Base58 character set: abcdefghijk mnopqrstuvwxyzABCDEFGH JKLMN PQRSTUVWXYZ 123456789
VD: 0x1FD1xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1234
Vì vậy các địa chỉ này khá là khó nhớ và chúng ta thường sẽ sử dụng Copy & Paste khi thực hiện các giao dịch.
Mã độc lợi dụng điều này sẽ can thiệp vào "Clipboard" - nơi windows chứa các thông tin chúng ta sao chép hoặc dán dữ liệu.

Một số thông tin về mã độc:
Có tên và tiến trình giả mạo Services DirectX Driver.
Mã độc có kích thước file khoảng 80MB, chủ yếu để lưu các địa chỉ ví trong resource.

Size.PNG

Windows cung cấp các API để tác động vào clipboard, mã độc cũng sử dụng chúng.
Ví dụ:

GetClipboardData được sử dụng để lấy dữ liệu.
SetClipboardData được sử dụng để lưu dữ liệu.
Các API mã độc sử dụng trong import và file:

import file.PNG


Trojan.CBHAgent_ClipboardAPIs.png

Các hàm export của mã độc:

export mdoc.PNG

- Hàm "detection_VMx" để kiểm tra môi trường máy ảo
- Hàm "includes_func_runnded" để giám sát clipboard.
Tiến trình của mã độc khi chạy:

process.PNG

Thành phần khởi động - key run:

key run.PNG

Khi đã lây nhiễm vào máy, mã độc sẽ theo dõi dữ liệu trong clipboard của nạn nhân và tìm kiếm các địa chỉ ví và thay thế bằng địa chỉ ví của hacker có trong danh sách:

Trojan.CBHAgent_RegularExpressionCheck-2.png

Và chỉ thay đổi địa chỉ ví tiền ảo, không tác động tới các chuỗi khác. Các địa chỉ ví của hacker nằm trong resource của file:

resource.PNG

Như vậy cơ chế hoạt động của loại mã độc này khá đơn giản. Anh em nên lưu ý khi sử dụng máy để thực hiện giao dịch tiền ảo. Và đừng quên rà soát mã độc thường xuyên nhé!
Bài tham khảo: Quick Heal Blog.

tgnd
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf
Thẻ
hijacking clipboard mã độc
Bên trên