Hi,
Bắt đầu từ đầu tháng 5 Mysun đã nhận được rất nhiều mail từ khách hàng gửi đến nhờ hỗ trợ, vì cơ quan họ nhận được những email lạ gửi vào của công ty/tổ chức với nội dung email và kèm theo file đính kèm như bên dưới: Mysun đã thực hiện phân tích nhanh :
Nội dung trên “ Cảm ơn bạn đã order thành công trên site amazon.com…” đây là site
mua bán trực tuyến lớn nhất trên Internet hiện nay.
Bắt đầu từ đầu tháng 5 Mysun đã nhận được rất nhiều mail từ khách hàng gửi đến nhờ hỗ trợ, vì cơ quan họ nhận được những email lạ gửi vào của công ty/tổ chức với nội dung email và kèm theo file đính kèm như bên dưới: Mysun đã thực hiện phân tích nhanh :
Một số câu hỏi đặt ra là:
-
1, Trong nội dung file đính kèm kia chứa gì ?
-
2, Tại sao họ có list email của cơ quan và tổ chức nạn nhân kia ?
Bước 1:Chúng ta xem header mail:
Received:
from wjwuubxemHvHq.axorcismal.com [89.236.83.188]
X-Envelope-From: cchhzdurfWqIo @wjwuubxemHvHq.axorcismal.com
From: Amazon.com <xepuyrznyUpDi @axorcismal.com>
Subject: Amazon.com order report
Received: from vfmtzskbuBvRw.axorcismal.com [71.92.49.22]
X-Envelope-From: opyrkfebaKqZz @vfmtzskbuBvRw.
vfmtzskbuBvRw.axorcismal.com From: Amazon.com <shtuxxdnlQnIs @axorcismal.com>
Subject: Amazon.com order report
Received: from bigeeipnsCoTo.axorcismal.com [184.180.237.22]
X-Envelope-From: wtobfvdklAwMh @bigeeipnsCoTo.axorcismal.com
From: Amazon.com <syatseuxqTgDc @axorcismal.com>
Subject: Amazon.com order report
X-Envelope-From: cchhzdurfWqIo @wjwuubxemHvHq.axorcismal.com
From: Amazon.com <xepuyrznyUpDi @axorcismal.com>
Subject: Amazon.com order report
Received: from vfmtzskbuBvRw.axorcismal.com [71.92.49.22]
X-Envelope-From: opyrkfebaKqZz @vfmtzskbuBvRw.
vfmtzskbuBvRw.axorcismal.com From: Amazon.com <shtuxxdnlQnIs @axorcismal.com>
Subject: Amazon.com order report
Received: from bigeeipnsCoTo.axorcismal.com [184.180.237.22]
X-Envelope-From: wtobfvdklAwMh @bigeeipnsCoTo.axorcismal.com
From: Amazon.com <syatseuxqTgDc @axorcismal.com>
Subject: Amazon.com order report
=> Như
vậy qua hearder mail chúng ta thấy tên miền thật sự gửi mail đến nạn nhân là axorcismal.com
chúng ta thử phân giải tên miền này
=>Như vậy tên miền axorcismal.com được đăng ký vào 24
tháng 5.Như vậy mail nạn nhân nhận được email chứa mã độc này chỉ sau khoảng 5 ngày sau khi tên miền được
tạo (Mail khách hàng đã gửi cho Mysun), càng chứng tỏ hơn đây là cuộc tấn công có chủ đích.
- -
Truy cập thử website:
Bước 2: Mysun thử phân tích nhanh file đính kèm theo email. Đưa file
đính kèm trên lên virustotal.
Kết quả đây là malware và có 5 phần mềm virus có mẫu phát hiện được nó, trong đấy có CMC của Việt Nam mình đấy các bạn à :)
Kết quả đây là malware và có 5 phần mềm virus có mẫu phát hiện được nó, trong đấy có CMC của Việt Nam mình đấy các bạn à :)
Qua một số bước phân tích loằng ngoằng nữa Mysun nhận thấy file đính kèm có chứa malware với mục đích
ăn cắp thông tin khi người dùng gõ bàn phím, đúng hơn tính năng của một (keyloger).
=> Như vậy câu hỏi 1 được trả lời.
=> Như vậy câu hỏi 1 được trả lời.
Vậy tại sao họ có được email của nạn nhân. Hacker hoàn toàn
có được email của nạn nhân bằng cách cách sau:
- - Nạn nhân sử dụng email của mình để đăng ký và
truy cập diễn đàn trên internet.
- Hacker có thể lấy các email sử dụng tool như: email verifier, http://www.verifyemailaddress.org/ https://tools.email-checker.com/ …..
- Hacker có thể lấy các email sử dụng tool như: email verifier, http://www.verifyemailaddress.org/ https://tools.email-checker.com/ …..
- - Hệ thống email chưa được hardening security,
đang cho phép cấu hình mail relay với các mail server khác.
=> Như vậy câu hỏi 2 đã được trả lời.
Khuyến cáo:
- Không mở email lạ khi chưa rõ nguồn gốc (Nếu nhận được email dạng này chúng ta nên xóa email không nên click vào mở).
- Không sử dụng email cơ quan đăng ký các diễn đàn ngoài internet.
- Máy tính nên cài đặt các phần mềm virus.
- Khi bạn lỡ click vào mở email và file đính kèm hãy liên hệ với đội bảo mật cách ly máy tính và thực hiện phân tích gỡ bỏ malware, đồng thời thay đổi mật khẩu và tài khoản liên quan truy cập của bạn sau khi click vào file lạ.
Mọi liên hệ cần support: mysunsecurity@gmail.com
Khuyến cáo:
- Không mở email lạ khi chưa rõ nguồn gốc (Nếu nhận được email dạng này chúng ta nên xóa email không nên click vào mở).
- Không sử dụng email cơ quan đăng ký các diễn đàn ngoài internet.
- Máy tính nên cài đặt các phần mềm virus.
- Khi bạn lỡ click vào mở email và file đính kèm hãy liên hệ với đội bảo mật cách ly máy tính và thực hiện phân tích gỡ bỏ malware, đồng thời thay đổi mật khẩu và tài khoản liên quan truy cập của bạn sau khi click vào file lạ.
Mọi liên hệ cần support: mysunsecurity@gmail.com