VietNetwork.Vn

Người dùng điện thoại di động tại Brazil là mục tiêu của một chiến dịch phần mềm độc hại mới phát tán trojan ngân hàng Android mới có tên là Rocinante.

Công ty bảo mật Hà Lan ThreatFabric cho biết : "Họ phần mềm độc hại này có khả năng thực hiện ghi phím bằng Dịch vụ trợ năng và cũng có thể đánh cắp PII từ nạn nhân bằng cách sử dụng màn hình lừa đảo giả mạo các ngân hàng khác nhau".


"Cuối cùng, nó có thể sử dụng tất cả thông tin rò rỉ này để thực hiện chiếm quyền thiết bị (DTO) bằng cách tận dụng các đặc quyền của dịch vụ trợ năng để đạt được quyền truy cập từ xa hoàn toàn vào thiết bị bị nhiễm."

Một số mục tiêu nổi bật của phần mềm độc hại bao gồm các tổ chức tài chính như Itaú Shop, Santander, với các ứng dụng giả mạo là Bradesco Prime và Correios Celular, cùng nhiều ứng dụng khác -

• Livelo Pontos (com.resgatelivelo.cash)
• Correios Recarga (com.correiosrecarga.android)
• Bratesco Prine (com.resgatelivelo.cash)
• Modulo de Segurança (com.viberotion1414.app)

Phân tích mã nguồn của phần mềm độc hại đã tiết lộ rằng Rocinante được những người điều hành gọi nội bộ là Pegasus (hoặc PegasusSpy). Cần lưu ý rằng cái tên Pegasus không liên quan gì đến phần mềm gián điệp đa nền tảng do nhà cung cấp giám sát thương mại NSO Group phát triển.

Tuy nhiên, Pegasus được đánh giá là tác phẩm của một tác nhân đe dọa có tên DukeEugene, cũng được biết đến với các chủng phần mềm độc hại tương tự như ERMAC, BlackRock, Hook và Loot, theo một phân tích gần đây của Silent Push.

ThreatFabric cho biết họ đã xác định được các phần của phần mềm độc hại Rocinante chịu ảnh hưởng trực tiếp từ các phiên bản đầu tiên của ERMAC, mặc dù họ tin rằng việc rò rỉ mã nguồn của ERMAC vào năm 2023 có thể đã đóng một vai trò nào đó.

"Đây là trường hợp đầu tiên mà một nhóm phần mềm độc hại gốc lấy mã từ vụ rò rỉ và chỉ triển khai một phần của nó trong mã của họ", báo cáo chỉ ra. "Cũng có khả năng hai phiên bản này là các nhánh riêng biệt của cùng một dự án ban đầu".


Rocinante chủ yếu được phân phối thông qua các trang web lừa đảo nhằm mục đích lừa người dùng nhẹ dạ cài đặt ứng dụng thả mã độc giả mạo. Sau khi cài đặt, ứng dụng này sẽ yêu cầu quyền dịch vụ trợ năng để ghi lại mọi hoạt động trên thiết bị bị nhiễm, chặn tin nhắn SMS và cung cấp các trang đăng nhập lừa đảo.

Nó cũng thiết lập liên lạc với máy chủ chỉ huy và điều khiển (C2) để chờ các hướng dẫn tiếp theo – mô phỏng các sự kiện chạm và vuốt – được thực hiện từ xa. Thông tin cá nhân thu thập được sẽ được chuyển đến bot Telegram.

"Bot trích xuất PII hữu ích thu được bằng cách sử dụng các trang đăng nhập giả mạo đóng giả là ngân hàng mục tiêu. Sau đó, nó công bố thông tin này, được định dạng, vào một cuộc trò chuyện mà tội phạm có thể truy cập", ThreatFabric lưu ý.

"Thông tin có thể thay đổi đôi chút tùy thuộc vào trang đăng nhập giả mạo nào được sử dụng để lấy thông tin và bao gồm thông tin thiết bị như kiểu máy và số điện thoại, số CPF, mật khẩu hoặc số tài khoản."

Sự phát triển này diễn ra khi Symantec nhấn mạnh một chiến dịch phần mềm độc hại trojan ngân hàng khác khai thác tên miền secureserver[.]net để nhắm vào các khu vực nói tiếng Tây Ban Nha và Bồ Đào Nha.

Công ty thuộc sở hữu của Broadcom cho biết : "Cuộc tấn công nhiều giai đoạn bắt đầu bằng các URL độc hại dẫn đến một kho lưu trữ có chứa tệp.hta bị che giấu".

"Tệp này dẫn đến một tải trọng JavaScript thực hiện nhiều lần kiểm tra AntiVM và AntiAV trước khi tải xuống tải trọng AutoIT cuối cùng. Tải trọng này được tải bằng cách tiêm quy trình với mục đích đánh cắp thông tin ngân hàng và thông tin đăng nhập từ hệ thống của nạn nhân và đánh cắp chúng đến máy chủ C2."

Sự việc này cũng theo sau sự xuất hiện của một "phần mềm mở rộng dưới dạng dịch vụ" mới được quảng cáo để bán thông qua phiên bản mới của Genesis Market, phiên bản đã bị cơ quan thực thi pháp luật đóng cửa vào đầu năm 2023 và được thiết kế để đánh cắp thông tin nhạy cảm từ người dùng ở khu vực Mỹ Latinh (LATAM) bằng cách sử dụng các tiện ích mở rộng trình duyệt web độc hại được phát tán trên Chrome Web Store.

Hoạt động này diễn ra từ giữa năm 2023 và nhắm vào Mexico và các quốc gia LATAM khác, được cho là do một nhóm tội phạm điện tử có tên là Cybercartel thực hiện, nhóm này cung cấp các loại dịch vụ này cho các nhóm tội phạm mạng khác. Các tiện ích mở rộng không còn khả dụng để tải xuống nữa.

Các nhà nghiên cứu bảo mật Ramses Vazquez của Karla Gomez thuộc Nhóm tình báo về mối đe dọa Metabase Q Ocelot cho biết : "Tiện ích mở rộng độc hại của Google Chrome ngụy trang thành một ứng dụng hợp pháp, lừa người dùng cài đặt nó từ các trang web bị xâm nhập hoặc các chiến dịch lừa đảo".

"Sau khi tiện ích mở rộng được cài đặt, nó sẽ chèn mã JavaScript vào các trang web mà người dùng truy cập. Mã này có thể chặn và thao túng nội dung của các trang, cũng như thu thập dữ liệu nhạy cảm như thông tin đăng nhập, thông tin thẻ tín dụng và thông tin đầu vào khác của người dùng, tùy thuộc vào chiến dịch cụ thể và loại thông tin được nhắm mục tiêu."