VietNetwork.Vn

Các biến thể mới của phần mềm độc hại ngân hàng có tên Grandoreiro đã được phát hiện sử dụng các chiến thuật mới nhằm vượt qua các biện pháp chống gian lận, cho thấy phần mềm độc hại này vẫn đang tiếp tục được phát triển bất chấp các nỗ lực của cơ quan thực thi pháp luật nhằm trấn áp hoạt động này.

"Chỉ một phần của băng nhóm này bị bắt: những kẻ điều hành còn lại đứng sau Grandoreiro vẫn tiếp tục tấn công người dùng trên toàn thế giới, tiếp tục phát triển phần mềm độc hại mới và thiết lập cơ sở hạ tầng mới", Kaspersky cho biết trong một phân tích được công bố hôm thứ Ba.


Một số thủ thuật mới được kết hợp khác bao gồm việc sử dụng thuật toán tạo miền (DGA) cho giao tiếp chỉ huy và kiểm soát (C2), mã hóa đánh cắp văn bản mã hóa ( CTS ) và theo dõi chuột. Ngoài ra còn có "phiên bản cục bộ, nhẹ hơn" tập trung cụ thể vào khách hàng ngân hàng ở Mexico.

Grandoreiro, hoạt động từ năm 2016, đã liên tục phát triển theo thời gian, nỗ lực để không bị phát hiện, đồng thời mở rộng phạm vi địa lý sang Châu Mỹ Latinh và Châu Âu. Nó có khả năng đánh cắp thông tin đăng nhập của 1.700 tổ chức tài chính, có trụ sở tại 45 quốc gia và vùng lãnh thổ.

Người ta cho rằng nó hoạt động theo mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS), mặc dù bằng chứng cho thấy nó chỉ được cung cấp cho một số tội phạm mạng và các đối tác đáng tin cậy.

Một trong những diễn biến quan trọng nhất trong năm nay liên quan đến Grandoreiro là việc bắt giữ một số thành viên của nhóm, một sự kiện dẫn đến sự phân mảnh cơ sở dữ liệu mã Delphi của phần mềm độc hại.

Kaspersky cho biết: "Phát hiện này được hỗ trợ bởi sự tồn tại của hai cơ sở mã riêng biệt trong các chiến dịch đồng thời: các mẫu mới hơn có mã được cập nhật và các mẫu cũ hơn dựa trên cơ sở mã cũ, hiện chỉ nhắm mục tiêu vào người dùng ở Mexico — khách hàng của khoảng 30 ngân hàng".

Grandoreiro chủ yếu được phân phối thông qua email lừa đảo và ở mức độ thấp hơn, thông qua các quảng cáo độc hại được phân phối trên Google. Giai đoạn đầu tiên là tệp ZIP, sau đó chứa tệp hợp lệ và trình tải MSI chịu trách nhiệm tải xuống và khởi chạy phần mềm độc hại.


Các chiến dịch được quan sát vào năm 2023 đã phát hiện lợi dụng các tệp thực thi di động cực lớn có kích thước tệp là 390 MB bằng cách ngụy trang thành trình điều khiển SSD dữ liệu ngoài của AMD để vượt qua hộp cát và hoạt động ẩn danh.

Phần mềm độc hại ngân hàng được trang bị các tính năng để thu thập thông tin máy chủ và dữ liệu vị trí địa chỉ IP. Nó cũng trích xuất tên người dùng và kiểm tra xem có chứa chuỗi "John" hoặc "WORK" hay không, và nếu có, sẽ dừng thực thi.

"Grandoreiro tìm kiếm các giải pháp chống phần mềm độc hại như AVAST, Bitdefender, Nod32, Kaspersky, McAfee, Windows Defender, Sophos, Virus Free, Adaware, Symantec, Tencent, Avira, ActiveScan và CrowdStrike", công ty cho biết. "Nó cũng tìm kiếm phần mềm bảo mật ngân hàng như Topaz OFD và Trusteer".

Một chức năng đáng chú ý khác của phần mềm độc hại là kiểm tra sự hiện diện của một số trình duyệt web, ứng dụng email, VPN và ứng dụng lưu trữ đám mây trên hệ thống và theo dõi hoạt động của người dùng trên các ứng dụng đó. Hơn nữa, nó có thể hoạt động như một trình cắt để định tuyến lại các giao dịch tiền điện tử đến các ví do tác nhân đe dọa kiểm soát.

Các chuỗi tấn công mới hơn được phát hiện sau các vụ bắt giữ trong năm nay bao gồm rào cản CAPTCHA trước khi thực hiện tải trọng chính như một cách để vượt qua quá trình phân tích tự động.

Phiên bản mới nhất của Grandoreiro cũng đã nhận được những cập nhật quan trọng, bao gồm khả năng tự cập nhật, ghi lại các lần nhấn phím, chọn quốc gia để liệt kê nạn nhân, phát hiện các giải pháp bảo mật ngân hàng, sử dụng Outlook để gửi email rác và theo dõi email Outlook để tìm các từ khóa cụ thể.

Nó cũng được trang bị để ghi lại chuyển động của chuột, báo hiệu nỗ lực bắt chước hành vi của người dùng và đánh lừa hệ thống chống gian lận để xác định hoạt động này là hợp pháp.

Các nhà nghiên cứu cho biết: "Phát hiện này làm nổi bật sự phát triển liên tục của phần mềm độc hại như Grandoreiro, nơi kẻ tấn công ngày càng kết hợp các chiến thuật được thiết kế để chống lại các giải pháp bảo mật hiện đại dựa trên sinh trắc học hành vi và máy học".

Sau khi có được thông tin xác thực, những kẻ đe dọa sẽ rút tiền vào các tài khoản thuộc về những con la tiền địa phương thông qua các ứng dụng chuyển tiền, tiền điện tử hoặc thẻ quà tặng hoặc máy ATM. Những con la được xác định bằng các kênh Telegram, trả cho chúng từ 200 đến 500 đô la mỗi ngày.

Truy cập từ xa vào máy nạn nhân được thực hiện dễ dàng bằng cách sử dụng một công cụ dựa trên Delphi có tên là Operator, công cụ này sẽ hiển thị danh sách nạn nhân bất cứ khi nào họ bắt đầu duyệt trang web của tổ chức tài chính mục tiêu.

Kaspersky cho biết: "Những kẻ tấn công đứng sau phần mềm độc hại ngân hàng Grandoreiro liên tục cải tiến chiến thuật và phần mềm độc hại để thực hiện thành công các cuộc tấn công vào mục tiêu và trốn tránh các giải pháp bảo mật".

"Trojan ngân hàng Brazil hiện đã là mối đe dọa quốc tế; chúng đang lấp đầy khoảng trống mà các băng đảng Đông Âu để lại sau khi chuyển sang ransomware."