Buzz
Qua mẫu file mà Độ Mixi chia sẻ, chúng ta đã biết được cách mà mã độc này vượt qua các cơ chế bảo mật của phần mềm diệt virus ra sao.
Gần đây, việc kênh YouTube của streamer Độ Mixi (Phùng Thanh Độ) bị hack đã thu hút sự quan tâm lớn từ cộng đồng công nghệ và game thủ trong nước. Sau khi tạm dừng stream trong 2 ngày, vào ngày 3/4, kênh YouTube của Mixigaming đã được phục hồi lại bình thường, và streamer này đã tiếp tục phát sóng vào tối cùng ngày.
Trong buổi stream mới nhất, Độ Mixi đã chia sẻ cách hacker đã liên hệ và đánh lừa anh ta để chạy mã độc trên máy tính cá nhân. Chúng tôi đã thu thập được mẫu file và đã tiến hành phân tích sơ bộ về cách mà mã độc này vượt qua các phần mềm diệt virus, cũng như danh sách các loại mã độc mà PC của streamer này đã bị nhiễm.
Trước khi tiếp tục, chúng tôi khuyên bạn đọc tham khảo bài viết 'Mật khẩu mạnh, kích hoạt bảo mật 2 lớp, tại sao các YouTuber 'top đầu' như Độ Mixi vẫn bị hack?'. Mặc dù hoàn thành trước khi Độ Mixi xác nhận về cách thức tấn công, tuy nhiên bài viết này đã đưa ra dự đoán chính xác về kịch bản mà hacker đã tạo ra, bao gồm giả danh email chào mời hợp tác, gửi mã độc dưới dạng một file nén, cũng như cách để vượt qua các phần mềm diệt virus.
File mã độc được gửi cho Độ Mixi được giả mạo thành một tựa game có tên là 'Black Myth Wukong' (hiện tại tựa game này vẫn chưa chính thức ra mắt, nên tất cả các liên kết tải về đều là giả mạo). 'Tựa game' này được chia sẻ qua dịch vụ lưu trữ trực tuyến Google Drive và Dropbox.
Độ Mixi chia sẻ đoạn email 'chào mời hợp tác' nhằm lừa streamer này chạy mã độc
Đầu tiên, hãy cùng khám phá file mà hacker đã gửi tới Độ Mixi. File này mang tên là 'Black Myth Wukong.rar', là dạng file nén của WinRAR với dung lượng là 886.5MB. File này không yêu cầu mật khẩu để giải nén.
'Black Myth Wukong.rar' bao gồm 2 file nhỏ bên trong: 'Black Myth Wukong Demo.rar' và 'ReadMe.txt'. Trong đó, Black Myth Wukong Demo.rar đã được mã hóa (đặt mật khẩu), và Readme.txt chứa mật khẩu để giải mã. Mật khẩu của file RAR cũng đã được chia sẻ với Độ Mixi thông qua email trao đổi công việc.
Nội dung của file Black Myth Wukong.rar
Sau khi giải nén, chúng ta sẽ thấy một loạt các thư mục và file được bố cục giống như một bộ cài game thực sự. Tuy nhiên điều này chỉ là cách mà hacker đánh lừa mắt người dùng, vì những thư mục và file này hoàn toàn không có liên quan đến bất kỳ tựa game nào hay thậm chí là mã độc. Chúng chỉ có tác dụng 'làm cảnh' theo nghĩa đen.
File 'Black Myth Wukong 64-bit.exe' có dung lượng là 692.1MB
Thay vào đó, mọi sự chú ý được tập trung vào file 'Black Myth Wukong 64-bit.exe'. Đây là một file .exe, có dung lượng 692.1MB và hash md5 là 05eb129bc331d556a3330bdb262cb132.
Như đã phân tích ở bài viết trước, việc file .exe này có dung lượng lớn đến vậy là một cách để mã độc vượt qua các phần mềm diệt virus. 'Lý do cho việc này là theo cài đặt mặc định, một số phần mềm diệt virus sẽ không quét các tệp tin có dung lượng quá lớn để tránh làm ảnh hưởng đến hiệu suất của PC. Một số dịch vụ quét virus trực tuyến như VirusTotal chỉ cho phép tải lên tệp tin với kích thước tối đa là 650MB, vì vậy mức 700-750MB có thể được coi là 'con số lý tưởng' cho các loại tấn công như thế này.', trích từ bài viết.
Cách mà hacker tăng kích thước file cũng đã được đề cập trong bài viết trước. Beside một phần rất nhỏ những đoạn mã độc, hacker đã chèn thêm một loạt những đoạn mã dư thừa ở đoạn cuối của file exe.
Ngoài những đoạn mã độc, hacker đã chèn hàng loạt những đoạn mã trống nhằm tăng dung lượng file
Chúng tôi đã tiến hành chỉnh sửa lại file .exe gốc, xóa các đoạn mã dư thừa. Hậu 'làm thon gọn', Black Myth Wukong 64-bit.exe giảm dung lượng từ 692.1MB xuống còn 6.9MB.
Sau khi chỉnh sửa, file exe đã giảm dung lượng từ 692.1 MB xuống chỉ còn 6.9MB
Đến đây, chúng tôi có thể dễ dàng tải file này lên công cụ VirusTotal để xác thực. Trong số 72 phần mềm quét virus trên VirusTotal, có 29 phần mềm nhận dạng là mã độc. Tiếc rằng, phần mềm diệt virus Bkav, được quảng cáo tích hợp hàng loạt công nghệ AI tiên tiến, lại không thể nhận diện được mã độc này. Xem báo cáo của VirusTotal với mẫu file chúng tôi đã chỉnh sửa tại đây.
File 'Black Myth Wukong 64-bit.exe' sau khi chỉnh sửa đã được tải lên VirusTotal và nhận dạng bởi 29/72 trình diệt virus
Thế nhưng, câu chuyện chưa dừng lại ở đó. Tiếp tục sử dụng công cụ VirusTotal Graph, chúng ta sẽ có một cái nhìn chi tiết hơn về cách mà mã độc này hoạt động.
Có thể xem VirusTotal Graph như là một loại 'bản đồ tư duy' (mindmap) nhưng dành cho mã độc. Khi người dùng tải một file lên công cụ này, VirusTotal sẽ phân tích xem file đó sẽ thực hiện những hoạt động gì trên hệ thống máy tính, ví dụ như tạo ra những file nhỏ nào, kết nối với máy chủ ở đâu... Trên VirusTotal Graph, những đối tượng được bao bọc bởi vòng tròn màu đỏ được xem xét là mã độc.
Và, phân tích cho thấy một kết quả không mấy lạc quan cho streamer Độ Mixi.
Phân tích mã độc qua công cụ VirusTotal Graph
Đầu tiên về kết nối Internet, khi được chạy, mã độc này sẽ thiết lập kết nối tới một số máy chủ ở Mỹ. Trong đó, có một số máy chủ đã nằm trong danh sách đen của các dịch vụ an ninh mạng. Tất nhiên, việc phân tích sâu hơn sẽ cần thiết để hiểu rõ hơn về dữ liệu nào của Độ Mixi được gửi tới các máy chủ đó.
Mã độc kết nối với hàng loạt địa chỉ IP nguy hiểm
Điều mà chúng tôi muốn nhấn mạnh là về những file đã được tạo ra trong quá trình hoạt động của mã độc này. Như đã nói ở trên, VirusTotal Graph đánh dấu những đối tượng được bao bọc bởi vòng tròn đỏ là mã độc. Vàtrong hình ảnh dưới đây, có thể thấy rằng không có một mã độc nào cả.
Các file được tạo ra trong quá trình hoạt động của mã độc
Vì thực tế, toàn bộ các file bên trong đều là những thư viện .dll 'chuẩn chỉ' và đã được xác thực. Tuy nhiên, chúng tôi đã phát hiện ra sự xuất hiện của bz2, một thư viện Python với nhiệm vụ giải nén file (tương tự như WinRAR trên Windows).
Thư viện bz2 với nhiệm vụ giải nén
Và cùng với đó, là một file zip mang tên 'base_library.zip' có dung lượng 1.27MB.
File zip mang tên 'base_library.zip' có dung lượng 1.27MB
Giải nén file zip, và đây là những gì chúng ta có được. Thật không thể tin nổi!
Hàng loạt mã độc đã được 'ẩn náu' bên trong file zip này
Một trong số vô vàn mã độc đã tấn công PC của Độ Mixi
Như vậy, nếu đếm 'sơ sơ' bằng tay, Độ Mixi đã nhiễm ít nhất 20 loại mã độc khác nhau. Dưới đây là danh sách các file và loại mã độc được phát hiện bởi các phần mềm antivirus khác nhau:
cstealer.exe: Trojan:Win64/CrealStealer.AMJ!MTB (Microsoft)
foodmethods.exe: UDS:Trojan-PSW.Multi.Stealer (Kaspersky)
gen.exe: W64.AIDetectMalware (Bkav)
payload.exe: UDS:Trojan.Win32.Generic (Kaspersky)
Free-Robux-fur-drinosch.exe: Trojan:Win32/Sabsik.FL.B!ml (Microsoft)
TwitchShop Ad Bot 1.0.6.exe: Backdoor.PHP.yj (Jiangmin)
base.exe: TrojanDownloader.Pyfatget.e (Jiangmin)
fn.exe: HEUR:Trojan-Banker.Win32.Clipbanker.b (Kaspersky)
creal.exe: Trojan:Win32/Phonzy.A!ml (Microsoft)
zobato2.scr: HEUR:Trojan-PSW.Python.Luna.gen (Kaspersky)
mitmweb.exe: Malware.AI.273182600 (Malwarebytes)
main.exe: Program:Win32/Wacapew.C!ml (Microsoft)
NitroDumpz-Updater.exe: Trojan:Win32/Wacatac.B!ml (Microsoft)
test rml.exe: W32.Common.4F5989E5 (Bkav)
Raft-Hard-Survie.exe: Win32.Trojan-Stealer.LunaGrabber.EYQP0B (GDATA)
text.exe: Python:KeyLogger-BO [Trj] (AVG)
PyInstaller.exe: Malware.AI.1280676777 (Malwarebytes)
try.exe: Trojan:Win64/CrealStealer.AMJ!MTB (Microsoft)
00040f10415f1c993c0d9cf46ca5e2f013cd9e9b4e935f7fffd6dc1d98333cc3.file: Trojan:Win32/Phonzy.B!ml (Microsoft)
defender.exe: Trojan-Ransom.Win32.Blocker.zmab (Kaspersky)
Tính đến thời điểm này, tài khoản Steam của Độ Mixi vẫn chưa được khôi phục. Và với số lượng mã độc lớn như vậy, rất có thể sẽ có nhiều dữ liệu của streamer này bị khai thác trong tương lai.
Sau khi bị hack kênh YouTube, Độ Mixi đã liên hệ với đại diện của Google để phục hồi kênh. Điều này không lạ với Độ Mixi, vì không phải lần đầu tiên một YouTuber lớn bị hack kênh để livestream tiền ảo. Google đã trở nên quen thuộc với các tình huống như vậy và đã chuẩn bị sẵn các biện pháp dự phòng để phục hồi kênh và tài khoản.
Tuy nhiên, cũng trong buổi stream hôm qua, Độ Mixi đã xác nhận rằng hệ thống camera giám sát của anh cũng đã bị hack. Sau đó, trên stream, Độ Mixi đã mất quyền kiểm soát tài khoản Steam, trong đó có lượng game và kho đồ ước tính có giá trị cả tỷ đồng. Với những tình huống như vậy, liệu Độ Mixi có nhận được sự hỗ trợ nhiệt tình từ YouTube?
Tính đến thời điểm này, tài khoản Steam của Độ Mixi vẫn chưa được phục hồi. Và với lượng mã độc lớn như trên, rất có thể sẽ có thêm nhiều dữ liệu của streamer này bị khai thác trong tương lai.
