Mã độc tống tiền Thief Quest mới ra đời nhưng đã bị “hạ gục”

Mới đây, công ty cổ phần An ninh mạng Việt Nam VSEC đã phát đi cảnh báo về một loại mã độc tống tiền mới ra đời mang tên Thief Quest, tấn công hệ điều hành Mac OS (hệ điều hành độc quyền, được phát triển, phân phối bởi Apple).
18:20 PM 09/07/2020 In bài viết này

Quả thật, đối với người dùng mạng, điều khiến họ mất vui, lo lắng chính là mỗi khi nhận được những cảnh báo về những phần mềm độc hại rình rập, tấn công, gây hại.

Ở lần này thì lại khác, niềm vui đã trở lại, bởi những lo lắng vài ngày đã xua tan, khi vừa mới đây, Bleeping Computer - một trang web hỗ trợ kỹ thuật máy tính đã công bố "hạ gục" dễ dàng mã độc tống tiền mang tên Thief Quest.

Kẻ "tống tiến" ranh ma đổi tên

Theo đó, các chuyên gia bảo mật còn cho biết ban đầu mã độc trên ra đời có tên Evil Quest, nhưng chỉ sau vài ngày nó đã nhanh chóng đổi tên thành Thief Quest.

Sự ngụy trang, đổi tên nhanh chóng của nó cũng vì mục đích tung hỏa mù, gây khó khăn cho các chuyên gia bảo mật truy tìm dấu vết.

Thief Quest là mã độc này có khả năng chiếm quyền điều khiển máy tính của người dùng, chúng có khả năng xâm nhập, lấy cắp, mã hóa toàn bộ tệp tin quan trọng của người dùng và gửi đến một thông điệp tống tiền nếu muốn khôi phục dữ liệu.

Mã độc Thief Quest còn thực sự khôn khéo, tinh vi khi ngụy trang thông qua vỏ bọc khác mang tên phần mềm mạo danh tên là Little Snitch – phần mềm có chức năng chính là theo dõi và quản lý các kết nối ra ngoài Internet, được sử dụng rộng rãi trên các thiết bị sử dụng MacOS trên thế giới.

Vì sự ngụy tinh vi trang này, người dùng không hề nghi ngờ, hoàn toán mất cảnh giác khi muốn tải phần mềm trên về về máy tính.

Chỉ chờ người dùng tải và cài đặt phần mềm, mã độc Thief Quest sẽ tự động tạo trên hệ thống những tập tin như một bộ cài thông thường.

Điều người dùng không bao giờ biết đó chính là kẻ tống tiền này mã hóa dữ liệu người dùng thông qua một tập lệnh có khả năng đổi tên và xóa dấu vết chỉ trong một thời gian khiêm tốn.

Khi quá trình lây nhiễm được kích hoạt bởi trình cài đặt, phần mềm độc hại bắt đầu tự phát tán một cách tự do xung quanh ổ cứng, máy tính của nạn nhân sẽ bị mã các hóa dữ liệu quan trọng trong vài ngày sau đó.

Bên cạnh đó, Thief Quest còn cài đặt các file thực thi tại những vị trí dễ khiến người dùng vô tình kích hoạt như trong những tập tin khởi động của hệ thống hay các tác nhân trình nền (daemon plist files), hành động này nhằm tạo phương án dự phòng trong trường hợp chương trình tấn công đã kích hoạt trước đấy bị lỗi.

Mã độc tống tiền Thief Quest mới ra đời nhưng đã bị “hạ gục” - Ảnh 1.

Mã trích xuất dữ liệu của Thief Quest (Evil Quest)

(Thief Quest tấn công vào thư mục /Users và tập trung mã hóa các tập tin theo định dạng: .pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat).

Sau khi quá trình mã hóa hoàn tất, một tệp tin tống tiền được tạo ra để hướng dẫn người dùng cách chuộc lại những dữ liệu đã bị mã hóa trong máy từ trước đó.

Thief Quest sẽ để lại lời nhắn cho người dùng rằng họ có 72 giờ để nộp 50 USD vào một ví Bitcoin. Tuy nhiên, chúng không cung cấp địa chỉ email hay trang web để nạn nhân nhận hướng dẫn giải mã.

Màn "hạ gục" dễ dàng

Có thể nói để "khắc chế" hay "hạ gục" một phần mềm độc hại, đối với các chuyên gia CNTT luôn là việc đòi hỏi thời gian, công sức, trí tuệ, chất xám cao cao.

Tuy nhiên lần này, đối với "cuộc giải phẫu" kẻ tống tiền Thief Quest , chỉ mất có vài ngày, các kỹ sư, chuyên gia an ninh, bảo mật mạng hàng đầu của công ty bảo mật SentinelOne - chuyên về cung cấp bảo mật tự động cho môi trường điểm cuối – trụ sở tại Mỹ, đã sử dụng phương pháp mã hóa đối xứng tùy chỉnh, dựa trên thuật toán RC2.

Mã độc tống tiền Thief Quest mới ra đời nhưng đã bị “hạ gục” - Ảnh 2.

Khi Mac OS bị dính Thief Quest (Evil Quest), các file sẽ bị mã hóa

Thông qua phương pháp này, các chuyên gia đã xác định được hàm phụ trách quá trình mã hóa và biết rằng khóa đối xứng (128 byte) được chuyển mã theo một cách khá đơn giản.

So sánh một tập tin bị mã hóa với tập tin gốc, các chuyên gia phát hiện ra tập tin mã hóa có một khối dữ liệu bổ sung. Trong khối dữ liệu này có một phần mềm được mã hóa và khóa để mở nó. Khi mở ra, các nhà nghiên cứu khá bất ngờ khi phần mềm đó chính là bộ khóa mã hóa/giải mã các tập tin bị tấn công.

Nhờ sự phát hiện quan trọng về điểm yếu, sự hạn chế của khối dữ liệu bổ sung, không xóa bỏ hàm phụ trách của Thief Quest, các chuyên gia bảo mật hàng đầu của SentinelOne đã thọc sâu, đánh đòn hiểm chiến thắng Thief Quest, giải mã dữ liệu cho người dùng.

Mặc dù đạt thành công đánh bại Thief Quest, tuy nhiên phía SentinelOne cho biết đây chỉ là bước tiến trên phương diện công cụ hỗ trợ, giải mã tập tin khi đã bị Thief Quest đánh cắp, còn những thông tin khi đã bị đánh cắp sẽ không lấy được lại.

Cũng theo khuyến cáo của các chuyên gia bảo mật SentinelOne, hiện nay mã độc tống tiền đang tồn tại là một trong những mối đe dọa bảo mật hàng đầu, cơn ác mộng tồi tệ đối với người dùng mạng, do vậy muốn trong quá trình sử dụng để tránh bị lây nhiễm virus từ những phần mềm tải về trên máy tính, người dùng cần xác định rõ nguồn gốc và chỉ tải về từ các trang uy tín, luôn đọc kỹ các điều khoản và quy định của các ứng dụng - phần mềm trước khi tải về.

Hiện tại SentinelOne cung cấp miễn phí công cụ giải mã qua GitHub theo giấy phép phần mềm miễn phí GNU GPL v2 đối với Thief Quest (Evil Quest).

Trọng Thành
Xem thêm