{
	"id": "26170a07-1cde-425e-a7c1-1d06616d3d0d",
	"created_at": "2026-04-10T03:21:55.09368Z",
	"updated_at": "2026-04-10T03:22:19.453607Z",
	"deleted_at": null,
	"sha1_hash": "b905c72ca9a9ef76a9aedc9c52acbf31eeb450b2",
	"title": "Một sample nhắm vào Bank ở VN",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2049329,
	"plain_text": "Một sample nhắm vào Bank ở VN\r\nBy m4n0w4r\r\nPublished: 2019-10-10 · Archived: 2026-04-10 02:51:08 UTC\r\n4 min read\r\nOct 8, 2019\r\nĐợt rồi, sau khi tôi có đăng status xin dạo trên FB, may quá cũng có vài bạn nhiệt tình gửi cho. Mẫu này theo\r\nnhận định thì target thẳng vào bộ phân nhân sự của Bank. Sample có tên dạng:\r\nCV_\u003cten_ung_vien\u003e_ChuyenVienKhachHangCaNhan\r\nPress enter or click to view image in full size\r\n1. Phân tích XML file\r\nFile nhận được có phần mở rộng là .doc nhưng khi kiểm tra bằng HxD thì thấy đây là một XML file, không phải\r\nlà OLE file:\r\nhttps://tradahacking.vn/%C4%91%E1%BB%A3t-r%E1%BB%93i-t%C3%B4i-c%C3%B3-%C4%91%C4%83ng-m%E1%BB%99t-status-xin-d%E1%BA%A1o-tr%C3%AAn-fb-may-qu%C3%A1-c%C5%A9ng-c%C3%B3-v%C3%A0i-b%E1%BA%A1n-nhi%E1%BB%87t-t%C3%ACnh-g%E1%BB%ADi-cho-537b19ee3468\r\nPage 1 of 8\n\nTa có thể sử dụng oledump (https://github.com/DidierStevens/DidierStevensSuite) của tác giả Didier Stevens để\r\nkiểm tra thông tin liên quan:\r\nNhư trên hình thì file này có hai stream chính là A: oledata.mso và B: editdata.mso. Trong đó tại stream B,\r\noledump phát hiện stream B3 là một macro stream. Hoàn toàn có thể dùng oledump để dump ra VBA code:\r\nNgoài ra, cũng có thể sử dụng olevba (https://github.com/decalage2/oletools/wiki/olevba) của tác giả Philippe\r\nLagadec để dump VBA code:\r\nhttps://tradahacking.vn/%C4%91%E1%BB%A3t-r%E1%BB%93i-t%C3%B4i-c%C3%B3-%C4%91%C4%83ng-m%E1%BB%99t-status-xin-d%E1%BA%A1o-tr%C3%AAn-fb-may-qu%C3%A1-c%C5%A9ng-c%C3%B3-v%C3%A0i-b%E1%BA%A1n-nhi%E1%BB%87t-t%C3%ACnh-g%E1%BB%ADi-cho-537b19ee3468\r\nPage 2 of 8\n\nolevba còn cung cấp thêm các thông tin tổng hợp rất hữu ích trong quá trình parse VBA code:\r\nCác bạn có thể đọc code chay để hiểu xem VBA làm gì, nhưng tôi thích dùng tính năng Debug VBA code của\r\nOffice.\r\nhttps://tradahacking.vn/%C4%91%E1%BB%A3t-r%E1%BB%93i-t%C3%B4i-c%C3%B3-%C4%91%C4%83ng-m%E1%BB%99t-status-xin-d%E1%BA%A1o-tr%C3%AAn-fb-may-qu%C3%A1-c%C5%A9ng-c%C3%B3-v%C3%A0i-b%E1%BA%A1n-nhi%E1%BB%87t-t%C3%ACnh-g%E1%BB%ADi-cho-537b19ee3468\r\nPage 3 of 8\n\nVBA code thực hiện trigger người dùng khi họ đóng tài liệu, nó sẽ gọi tới đoạn code sau:\r\nĐầu tiên sẽ gọi hàm Extract(), hàm này thực hiện nhiệm vụ drop ra một file dll có tên là propsys.dll\r\n(a9483fffb2cc476837d42832df2d79c5) và copy file control.exe (là Windows Control Panel của hệ thống) vào thư\r\nmục %LOCALAPPDATA%:\r\nThực hiện thành công hàm Extract() sẽ gọi tiếp hàm Create()để cấu thành một VBScript và lưu toàn bộ nội dung\r\ncủa script này vào file abi.vbs (612f6862f823a16736b1334daad3e810) tại thư mục %APPDATA%. Sau đó, sử\r\ndụng cscript để thực thi file abi.vbs vừa tạo:\r\nPhân tích file abi.vbs thì thấy định nghĩa một task để thực thi file control.exe đã được copy vào thư mục\r\n%LOCALAPPDATA%:\r\nobjRootFolder.CreateFolder(“\\ActivexInstaller”): Tạo thư mục ActivexInstaller tại\r\nC:\\Windows\\System32\\Tasks\\ActivexInstaller\r\nKhai báo một task mới và cung cấp các thông tin liên quan:\r\nPress enter or click to view image in full size\r\nhttps://tradahacking.vn/%C4%91%E1%BB%A3t-r%E1%BB%93i-t%C3%B4i-c%C3%B3-%C4%91%C4%83ng-m%E1%BB%99t-status-xin-d%E1%BA%A1o-tr%C3%AAn-fb-may-qu%C3%A1-c%C5%A9ng-c%C3%B3-v%C3%A0i-b%E1%BA%A1n-nhi%E1%BB%87t-t%C3%ACnh-g%E1%BB%ADi-cho-537b19ee3468\r\nPage 4 of 8\n\nThiết lập trigger cho việc thực thi và tạo ra một file là ActivexInstaller có định dạng XML để lưu thông tin\r\nvề task:\r\nScheduled task sau khi được tạo thành công sẽ tương tự như sau:\r\n2. Phân tích sơ bộ propsys.dll (32-bit dll)\r\nDll này export một hàm duy nhất là PSCreateMemoryPropertyStore:\r\nhttps://tradahacking.vn/%C4%91%E1%BB%A3t-r%E1%BB%93i-t%C3%B4i-c%C3%B3-%C4%91%C4%83ng-m%E1%BB%99t-status-xin-d%E1%BA%A1o-tr%C3%AAn-fb-may-qu%C3%A1-c%C5%A9ng-c%C3%B3-v%C3%A0i-b%E1%BA%A1n-nhi%E1%BB%87t-t%C3%ACnh-g%E1%BB%ADi-cho-537b19ee3468\r\nPage 5 of 8\n\nCó Import các hàm từ hai thư viện kernel32.dll (67 funcs) và wininet.dll (4 funcs). Để ý các hàm được import từ\r\nthư viện wininet.dll ta thấy rằng dll này sẽ thực hiện kết nối tới Internet để đọc file nào đó:\r\nTập trung vào hàm được export là PSCreateMemoryPropertyStore, ta thấy từ hàm này gọi tới các sub function\r\nlà sub_10001B90; sub_10001250; sub_10001770; sub_10001390. Trong đó, đáng chú ý là sub_10001250 vì nó\r\ngọi tới các hàm có truy xuất tới Internet:\r\nsub_10001B90 làm nhiệm vụ cấu thành chuỗi URL (hxxps://sub[.]journeywiki[.]com/nancy.ico) trong memory:\r\nhttps://tradahacking.vn/%C4%91%E1%BB%A3t-r%E1%BB%93i-t%C3%B4i-c%C3%B3-%C4%91%C4%83ng-m%E1%BB%99t-status-xin-d%E1%BA%A1o-tr%C3%AAn-fb-may-qu%C3%A1-c%C5%A9ng-c%C3%B3-v%C3%A0i-b%E1%BA%A1n-nhi%E1%BB%87t-t%C3%ACnh-g%E1%BB%ADi-cho-537b19ee3468\r\nPage 6 of 8\n\nHàm sub_10001250 làm nhiệm vụ kết nối tới URL trên với user agent là “Mozilla/5.0 (Windows NT 10.0;\r\nWin64; x64; rv:59.0) Gecko/20100101 Firefox/59.0” để đọc file và lưu vào vùng buf có kích thước là 0x400\r\nbytes:\r\nPress enter or click to view image in full size\r\nRất tiếc tại thời điểm hiện tại thì C2 đã chết nên không thể phân tích được gì thêm. Rất cảm ơn các bạn trong\r\nfriend list đã chia sẻ cho tôi!\r\nGet m4n0w4r’s stories in your inbox\r\nJoin Medium for free to get updates from this writer.\r\nRemember me for faster sign in\r\nSharing is caring!! :pray:\r\nP/S: Bạn nào có thêm thông tin khác thì vui lòng để lại comment !\r\nhttps://tradahacking.vn/%C4%91%E1%BB%A3t-r%E1%BB%93i-t%C3%B4i-c%C3%B3-%C4%91%C4%83ng-m%E1%BB%99t-status-xin-d%E1%BA%A1o-tr%C3%AAn-fb-may-qu%C3%A1-c%C5%A9ng-c%C3%B3-v%C3%A0i-b%E1%BA%A1n-nhi%E1%BB%87t-t%C3%ACnh-g%E1%BB%ADi-cho-537b19ee3468\r\nPage 7 of 8\n\nSource: https://tradahacking.vn/%C4%91%E1%BB%A3t-r%E1%BB%93i-t%C3%B4i-c%C3%B3-%C4%91%C4%83ng-m%E1%BB%99t-sta\r\ntus-xin-d%E1%BA%A1o-tr%C3%AAn-fb-may-qu%C3%A1-c%C5%A9ng-c%C3%B3-v%C3%A0i-b%E1%BA%A1n-nhi%E1%BB%87t-t%\r\nC3%ACnh-g%E1%BB%ADi-cho-537b19ee3468\r\nhttps://tradahacking.vn/%C4%91%E1%BB%A3t-r%E1%BB%93i-t%C3%B4i-c%C3%B3-%C4%91%C4%83ng-m%E1%BB%99t-status-xin-d%E1%BA%A1o-tr%C3%AAn-fb-may-qu%C3%A1-c%C5%A9ng-c%C3%B3-v%C3%A0i-b%E1%BA%A1n-nhi%E1%BB%87t-t%C3%ACnh-g%E1%BB%ADi-cho-537b19ee3468\r\nPage 8 of 8",
	"extraction_quality": 1,
	"language": "VI",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://tradahacking.vn/%C4%91%E1%BB%A3t-r%E1%BB%93i-t%C3%B4i-c%C3%B3-%C4%91%C4%83ng-m%E1%BB%99t-status-xin-d%E1%BA%A1o-tr%C3%AAn-fb-may-qu%C3%A1-c%C5%A9ng-c%C3%B3-v%C3%A0i-b%E1%BA%A1n-nhi%E1%BB%87t-t%C3%ACnh-g%E1%BB%ADi-cho-537b19ee3468"
	],
	"report_names": [
		"%C4%91%E1%BB%A3t-r%E1%BB%93i-t%C3%B4i-c%C3%B3-%C4%91%C4%83ng-m%E1%BB%99t-status-xin-d%E1%BA%A1o-tr%C3%AAn-fb-may-qu%C3%A1-c%C5%A9ng-c%C3%B3-v%C3%A0i-b%E1%BA%A1n-nhi%E1%BB%87t-t%C3%ACnh-g%E1%BB%ADi-cho-537b19ee3468"
	],
	"threat_actors": [],
	"ts_created_at": 1775791315,
	"ts_updated_at": 1775791339,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/b905c72ca9a9ef76a9aedc9c52acbf31eeb450b2.pdf",
		"text": "https://archive.orkl.eu/b905c72ca9a9ef76a9aedc9c52acbf31eeb450b2.txt",
		"img": "https://archive.orkl.eu/b905c72ca9a9ef76a9aedc9c52acbf31eeb450b2.jpg"
	}
}