Phát hiện mã độc tống tiền nhắm tới người chơi Fortnite

10:11 | 11/09/2019

Các nhà nghiên cứu bảo mật của công ty cung cấp các giải pháp an toàn mạng Cyren (trụ sở chính tại Mỹ) đã phát hiện ra một họ mã độc tống tiền mới dựa trên phần mềm độc hại nguồn mở Hidden-Cry, nhắm đến người chơi Fortnite.

Mã độc tống tiền được đặt tên là Syrk, có mục đích kiếm lợi từ sự phổ biến của trò chơi Fortnite bằng cách giả mạo một công cụ hack trò chơi này. Sau khi được thực thi, mã độc bắt đầu mã hóa và thêm đuôi .Syrk cho các tệp trên thiết bị của nạn nhân.

Fortnite là trò chơi khá phổ biến với hơn 250 triệu người chơi trên toàn thế giới. Gần đây, hàng triệu người chơi đã tham gia vào giải đấu toàn thế giới Fortnite World Cup với tổng giá trị giải thưởng lên đến hàng chục triệu USD.

Công ty Cyren đã phân tích về mã độc này và tiết lộ rằng, mã độc dựa trên phần mềm độc hại nguồn mở Hidden-Cry. Mã nguồn của phần mềm độc hại này đã có sẵn trên GitHub từ cuối năm 2018.

Mã độc tống tiền Syrk có mục đích lừa người dùng trả tiền chuộc càng sớm càng tốt bằng cách cứ 2 tiếng sẽ xóa dần các tệp của người dùng. Nhưng theo các nhà nghiên cứu của Cyren, nạn nhân có thể khôi phục các tệp này và thậm chí có thể giải mã dữ liệu đã bị mã hóa mà không cần trả tiền cho tin tặc.

Mã độc Syrk có kích thước 12MB, bao gồm một số lượng lớn các tệp được nhúng trong phần tài nguyên của nó. Khi thực thi, mã độc cố gắng vô hiệu hóa trình Windows Defender và User Account Control (UAC) bằng cách chỉnh sửa registry để có thể tồn tại lâu dài. Mã độc cũng theo dõi hệ thống để tìm ra các công cụ có thể chấm dứt tiến trình của nó như Task Manager, Procmon64 và ProcessHacker để lẩn tránh. Ngoài ra, nó cũng cố gắng lây nhiễm sang USB khi được gắn vào hệ thống.

Điều đáng mừng là các nhà nghiên cứu của Cyren đã phát hiện ra 2 phương pháp có thể giải mã dữ liệu đã bị mã hóa mà không cần trả tiền chuộc, lý do bởi các tệp tin cần thiết để giải mã cũng có sẵn trên những máy tính bị nhiễm.

Một trong số đó là dh35s3h8d69s3b1k.exe, công cụ giải mã Hidden-Cry được nhúng trong phần tài nguyên của phần mềm độc hại. Trích xuất và thực thi tệp tin này sẽ tạo tập lệnh PowerShell cần thiết để giải mã.

Ngoài ra, các nhà nghiên cứu cũng quan sát thấy mã độc này đã đưa vào các máy tính bị lây nhiễm các tệp có chứa ID và mật khẩu cần thiết để giải mã các tệp. Đó là các tệp -i+.txt, -pw+.txt và +dp-.txt trong đường dẫn C:\Users\Default\AppData\Local\Microsoft\.

Các nhà nghiên cứu cũng cho biết, mã độc Syrk cũng bao gồm cơ chế dọn sạch dưới dạng lệnh có thể thực thi, để xóa các tệp tin đã đưa vào máy tính sau khi sử dụng mật khẩu để giải mã dữ liệu.