-
Bộ Công an xuất quân bảo vệ Lễ kỷ niệm 80 năm Cách mạng Tháng Tám, Quốc khánh 2/9
-
Chủ tịch nước đặc xá cho 13.920 người dịp 80 năm Quốc khánh
-
Áp thấp nhiệt đới mạnh lên thành bão khi gần bờ, đổ bộ đêm 30/8
-
Hàng chục ống kính điện thoại livestream bủa vây, ông Ba Minh sống thế nào?
-
TP HCM cấp kinh phí tặng 100.000 đồng cho người dân dịp Quốc khánh 2 - 9
-
Xôn xao thông tin nam sinh Đắk Lắk viết Facebook trước khi nghi tự tử
-
Tiểu thư Quỳnh Anh lên đồ như công chúa cùng Duy Mạnh đi đu chiến sĩ A80, khoe ảnh "thắng đời 1-0"
-
Ngoài nhận quà 100.000 đồng, tài khoản an sinh xã hội VNeID để làm gì
-
Quang Hải ôm eo, kề má thơm Chu Thanh Huyền cực tình gây sốt cõi mạng
-
Tháng 7 âm 2 con giáp cần tận dụng thời cơ tốt để làm giàu, 1 con giáp lại cần chú ý chuyện tiền nong
-
4 lưu ý khi ăn chè không hại sức khỏe
-
Những ai được ưu tiên vào vị trí 5.000 chỗ ngồi xem tổng duyệt A80 ở Hà Nội?
-
Chi tiết phân luồng giao thông các tuyến đường vào Hà Nội phục vụ tổng duyệt A80
-
Vì sao khó đăng ký nhận 100.000 đồng tiền Quốc khánh trên ứng dụng VNeID?
-
Công an cảnh báo về thủ đoạn lừa đảo liên quan việc tặng 100.000 đồng dịp Quốc khánh
-
Ông Cao Tiến Đoan, “ông bầu” bóng đá xứ Thanh vừa bị công an khám xét là ai?
-
Cảnh ngao ngán tại khu nhà giá trăm triệu/m2 ở Hà Nội, mưa tạnh 3 ngày nước vẫn ngập nửa người
-
Kế hoạch chạy trốn bất thành của kẻ cầm đầu đường dây đánh bạc 88.000 tỷ
-
Điều bất ngờ phía sau màn cầu hôn "nóng" nhất buổi sơ duyệt diễu binh 2/9
-
Lời khai bất ngờ của nam thanh niên sinh năm 2003 say xỉn, lái xe máy tông ngã cán bộ Công an làm nhiệm vụ A80
Công nghệ
04/04/2024 15:00File RAR này đã tấn công streamer Độ Mixi: Không chỉ 1, Độ Mixi đã nhiễm ít nhất 20 loại mã độc khác nhau
Mới đây, vụ việc streamer Độ Mixi (Phùng Thanh Độ) bị hack kênh YouTube đã gây rúng động cộng đồng trong nước. Sau 2 ngày tạm ngừng stream, vào ngày 3/4, kênh YouTube của Mixigaming đã được phục hồi trở lại nguyên trạng, và streamer này đã "on air" vào tối cùng ngày.
Trong buổi stream mới nhất, Độ Mixi đã chia sẻ cách thức mà hacker đã liên lạc và đánh lừa streamer này chạy mã độc trên máy tính cá nhân. Chúng tôi đã thu thập được file sample và đã tiến hành phân tích sơ bộ về cách thức mã độc này vượt mặt các trình diệt virus, cũng như danh sách những mã độc mà PC của streamer này đã nhiễm.
File mã độc được gửi tới Độ Mixi được giả dạng là một tựa game mang tên "Black Myth Wukong" (hiện tại tựa game này vẫn chưa chính thức ra mắt, vì vậy tất cả các đường link tải về đều là giả mạo). "Tựa game" này được chia sẻ qua dịch vụ lưu trữ trực tuyến Google Drive và Dropbox.

Đầu tiên, hãy cùng đến với file được hacker gửi tới Độ Mixi. File này có tên "Black Myth Wukong.rar", là dạng file nén của WinRAR với dung lượng 886.5MB. File này không yêu cầu mật khẩu để giải nén.
"Black Myth Wukong.rar" bao gồm 2 file nhỏ bên trong: "Black Myth Wukong Demo.rar" và "ReadMe.txt". Trong đó, Black Myth Wukong Demo.rar đã bị mã hóa (đặt mật khẩu), và Readme.txt chứa mật khẩu để giải mã. Mật khẩu của file RAR cũng được chia sẻ với Độ Mixi thông qua email trao đổi công việc.

Sau khi giải nén, chúng ta sẽ có được một loạt các folder và file được bố cục như một bộ cài game thật. Tuy nhiên đây chỉ cách mà hacker đánh lừa thị giác của người dùng, bởi những folder và file này hoàn toàn không liên quan đến bất kỳ tựa game nào hay thậm chí là mã độc. Chúng chỉ có tác dụng "làm cảnh" một cách đúng nghĩa.

Thay vào đó, mọi sự chú ý được đổ dồn vào file "Black Myth Wukong 64-bit.exe". Đây là một file .exe, có dung lượng 692.1MB và hash md5 05eb129bc331d556a3330bdb262cb132.
Như đã phân tích ở bài viết trước, việc file .exe này có dung lượng lớn đến như vậy là cách để mã độc vượt mặt các phần mềm diệt virus. "Sở dĩ làm điều này là bởi theo thiết lập mặc định, một số phần mềm diệt virus sẽ không quét các tệp tin dung lượng quá lớn để tránh làm ảnh hưởng tới hiệu năng của PC. Một số dịch vụ quét virus trực tuyến như VirusTotal cũng chỉ cho phép tải lên tệp tin với kích thước tối đa là 650MB, vậy nên mức 700-750MB có thể được coi là "con số lý tưởng" đối với những dạng tấn công này.", trích dẫn từ bài viết.
Cách thức mà hacker tăng kích thước file cũng đã được đề cập trong bài viết trước. Bên cạnh một phần rất nhỏ những đoạn mã độc, hacker đã chèn thêm một loạt những đoạn mã dư thừa ở đoạn cuối của file exe.

Chúng tôi đã tiến hành chỉnh sửa lại file .exe gốc, xóa các đoạn mã dư thừa. Hậu "làm thon gọn", Black Myth Wukong 64-bit.exe đã giảm dung lượng từ 692.1MB còn 6.9MB.
Đến đây, chúng tôi có thể dễ dàng upload file này lên công cụ VirusTotal để xác thực. Trong số 72 phần mềm quét virus trên VirusTotal, có 29 phần mềm nhận dạng là mã độc. Tiếc rằng, phần mềm diệt virus Bkav, được quảng cáo tích hợp hàng loạt công nghệ AI tiên tiến, lại không thể nhận diện được mã độc này. Xem báo cáo của VirusTotal với mẫu file chúng tôi đã chỉnh sửa tại đây.

Thế nhưng, câu chuyện chưa dừng lại ở đó. Tiếp tục sử dụng công vụ VirusTotal Graph, chúng ta sẽ có một cái nhìn chi tiết hơn về cách mà mã độc này hoạt động.
Có thể coi VirusTotal Graph là một dạng "bản đồ tư duy" (mindmap) nhưng dành cho mã độc. Khi người dùng tải một file lên công cụ này, VirusTotal sẽ phân tích xem file đó sẽ làm gì trên hệ thống máy tính, ví dụ như tạo ra những file nhỏ nào, kết nối với máy chủ ở đâu... Trên VirusTotal Graph, những đối tượng bị có vòng tròn đỏ xung quanh được đánh giá là mã độc.
Và, phân tích cho thấy một kết cục không mấy khả quan cho streamer Độ Mixi.

Đầu tiên về kết nối Internet, khi được khởi chạy, mã độc này sẽ tạo kết nối tới một số máy chủ tại Mỹ. Trong đó, có một số máy chủ đã nằm trong danh sách đen của các dịch vụ an ninh mạng. Đương nhiên, việc những dữ liệu nào của Độ Mixi được gửi tới các máy chủ đó sẽ cần thời gian phân tích sâu hơn.

Điều mà chúng tôi muốn nhấn mạnh hơn là về những file đã được sản sinh ra trong quá trình mã độc này được kích hoạt. Như đã nói ở trên, cách thức hiển thị của VirusTotal Graph là những đối tượng bị có vòng tròn đỏ xung quanh được đánh giá là mã độc. Vànếu nhìn theo hình ảnh dưới đây, có thể thấy rằng không có một mã độc nào cả.

Bởi thực tế, toàn bộ các file bên trong đều là những thư viện .dll "chuẩn chỉ" và được xác thực. Tuy nhiên, chúng tôi đã nhận ra sự xuất hiện của bz2, một thư viện Python với nhiệm vụ giải nén file (tương tự như WinRAR trên Windows).

Và song song với đó, là một file zip với dung lượng 1.27MB.

Giải nén file zip, và đây là những gì chúng ta có được. Thật không thể tin nổi!

Như vậy, nếu chỉ đếm "sơ sơ" bằng tay, Độ Mixi đã nhiễm ít nhất 20 loại mã độc khác nhau. Sau đây là liệt kê các file và loại mã độc được nhận dạng bởi các phần mềm antivirus khác nhau:
cstealer.exe: Trojan:Win64/CrealStealer.AMJ!MTB (Microsoft)
foodmethods.exe: UDS:Trojan-PSW.Multi.Stealer (Kaspersky)
gen.exe: W64.AIDetectMalware (Bkav)
payload.exe: UDS:Trojan.Win32.Generic (Kaspersky)
Free-Robux-fur-drinosch.exe: Trojan:Win32/Sabsik.FL.B!ml (Microsoft)
TwitchShop Ad Bot 1.0.6.exe: Backdoor.PHP.yj (Jiangmin)
base.exe: TrojanDownloader.Pyfatget.e (Jiangmin)
fn.exe: HEUR:Trojan-Banker.Win32.Clipbanker.b (Kaspersky)
creal.exe: Trojan:Win32/Phonzy.A!ml (Microsoft)
zobato2.scr: HEUR:Trojan-PSW.Python.Luna.gen (Kaspersky)
mitmweb.exe: Malware.AI.273182600 (Malwarebytes)
main.exe: Program:Win32/Wacapew.C!ml (Microsoft)
NitroDumpz-Updater.exe: Trojan:Win32/Wacatac.B!ml (Microsoft)
test rml.exe: W32.Common.4F5989E5 (Bkav)
Raft-Hard-Survie.exe: Win32.Trojan-Stealer.LunaGrabber.EYQP0B (GDATA)
text.exe: Python:KeyLogger-BO [Trj] (AVG)
PyInstaller.exe: Malware.AI.1280676777 (Malwarebytes)
try.exe: Trojan:Win64/CrealStealer.AMJ!MTB (Microsoft)
00040f10415f1c993c0d9cf46ca5e2f013cd9e9b4e935f7fffd6dc1d98333cc3.file: Trojan:Win32/Phonzy.B!ml (Microsoft)
defender.exe: Trojan-Ransom.Win32.Blocker.zmab (Kaspersky)
Đến đây, mặc dù có thể "bung" từng file để phân tích sâu hơn, nhưng có thể nói rằng số lượng mã độc đã quá lớn so với khuôn khổ bài viết. Và, có lẽ đến đây cũng đã là đủ để khẳng định rằng streamer Độ Mixi thật sự đã gặp rắc rối lớn. Do mỗi một mã độc được lập trình với một mục đích khác nhau, rất khó để có thể liệt kê đầy đủ rằng hacker đã khai thác được những gì từ máy tính của streamer này.
Sau khi bị hack kênh YouTube, Độ Mixi đã làm việc với đại diện của Google để lấy lại kênh YouTube. Đây là một điều không mấy ngạc nhiên, do Độ Mixi không phải trường hợp đầu tiên bị hack kênh YouTube để livestream tiền ảo. Google đã quá "quen" với các tình huống này và đều đã chuẩn bị sẵn các phương án dự phòng nhằm phục hồi kênh.
Tuy nhiên, cũng trong buổi stream hôm qua, đích thân Độ Mixi đã xác nhận hệ thống camera giám sát của anh cũng đã bị hack. Sau đó, cũng ngay trên stream, Độ Mixi mất thêm quyền kiểm soát tài khoản Steam với lượng game và kho đồ được ước tính có trị giá cả tỷ đồng.
Tính đến thời điểm bài viết, tài khoản Steam của streamer này vẫn chưa được phục hồi. Và với lượng mã độc lớn như trên, rất có thể sẽ có thêm nhiều dữ liệu của streamer này bị khai thác.
Theo Bình Minh (Nguoiduatin)








- SUV hybrid tầm xa của Volvo lộ diện (16:00)
- Hình ảnh 120 quân nhân khối diễu binh Trung Quốc vừa đến Việt Nam (13 phút trước)
- Bộ Công an xuất quân bảo vệ Lễ kỷ niệm 80 năm Cách mạng Tháng Tám, Quốc khánh 2/9 (14 phút trước)
- Lỗ hổng lớn của mỹ nhân “tốt nghiệp” Top 5 Em Xinh Say Hi: Visual đẹp đấy nhưng không cứu nổi nhạc dở lời ngang (16 phút trước)
- Chủ tịch nước đặc xá cho 13.920 người dịp 80 năm Quốc khánh (25 phút trước)
- Đông Á Thanh Hoá hoang mang trước tin công an khám nhà bầu Đoan (26 phút trước)
- Đứa trẻ bí ẩn trong hang đá Israel là "con lai" giữa 2 loài người (26 phút trước)
- Áp thấp nhiệt đới mạnh lên thành bão khi gần bờ, đổ bộ đêm 30/8 (28 phút trước)
- Sao nam đình đám bị tố mắc bệnh ngôi sao, để trợ lý ngồi xổm chỉnh quần áo (29 phút trước)
- Hàng chục ống kính điện thoại livestream bủa vây, ông Ba Minh sống thế nào? (34 phút trước)




