Các biến thể phần mềm độc hại ngân hàng Grandoreiro mới xuất hiện với các chiến thuật tiên tiến để tránh bị phát hiện
Các biến thể phần mềm độc hại ngân hàng Grandoreiro mới xuất hiện với các chiến thuật tiên tiến để tránh bị phát hiện
Các biến thể mới của phần mềm độc hại ngân hàng có tên Grandoreiro đã được phát hiện sử dụng các chiến thuật mới nhằm vượt qua các biện pháp chống gian lận, cho thấy phần mềm độc hại này vẫn đang tiếp tục được phát triển tích cực bất chấp các nỗ lực của cơ quan thực thi pháp luật nhằm trấn áp hoạt động này.
"Chỉ một phần của băng nhóm này bị bắt: những kẻ điều hành còn lại đằng sau Grandoreiro vẫn tiếp tục tấn công người dùng trên toàn thế giới, tiếp tục phát triển phần mềm độc hại mới và thiết lập cơ sở hạ tầng mới", Kaspersky cho biết trong một phân tích được công bố vào thứ Ba.
Một số thủ thuật mới được kết hợp khác bao gồm sử dụng thuật toán tạo miền (DGA) để liên lạc chỉ huy và kiểm soát (C2), mã hóa đánh cắp văn bản mã hóa (CTS) và theo dõi chuột. Ngoài ra còn có "các phiên bản cục bộ, nhẹ hơn" tập trung cụ thể vào các khách hàng ngân hàng ở Mexico.
Grandoreiro, hoạt động từ năm 2016, đã liên tục phát triển theo thời gian, nỗ lực để không bị phát hiện, đồng thời mở rộng phạm vi địa lý sang Châu Mỹ Latinh và Châu Âu. Nó có khả năng đánh cắp thông tin đăng nhập của 1.700 tổ chức tài chính, có trụ sở tại 45 quốc gia và vùng lãnh thổ.
Người ta nói rằng nó hoạt động theo mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS), mặc dù bằng chứng cho thấy nó chỉ được cung cấp cho một số tội phạm mạng và đối tác đáng tin cậy.
Một trong những diễn biến quan trọng nhất trong năm nay liên quan đến Grandoreiro là việc bắt giữ một số thành viên của nhóm, một sự kiện dẫn đến sự phân mảnh của cơ sở mã Delphi của phần mềm độc hại.
"Phát hiện này được hỗ trợ bởi sự tồn tại của hai cơ sở mã riêng biệt trong các chiến dịch đồng thời: các mẫu mới hơn có mã được cập nhật và các mẫu cũ hơn dựa trên cơ sở mã cũ, hiện chỉ nhắm mục tiêu đến người dùng ở Mexico — khách hàng của khoảng 30 ngân hàng", Kaspersky cho biết.
Grandoreiro chủ yếu được phân phối thông qua email lừa đảo và ở mức độ thấp hơn, thông qua các quảng cáo độc hại được phân phối trên Google. Giai đoạn đầu tiên là tệp ZIP, lần lượt chứa một tệp hợp pháp và trình tải MSI chịu trách nhiệm tải xuống và khởi chạy phần mềm độc hại.
Các chiến dịch được quan sát vào năm 2023 đã được phát hiện là tận dụng các tệp thực thi di động cực lớn với kích thước tệp là 390 MB bằng cách ngụy trang thành trình điều khiển SSD Dữ liệu ngoài của AMD để vượt qua hộp cát và ẩn mình.
Phần mềm độc hại ngân hàng được trang bị các tính năng để thu thập thông tin máy chủ và dữ liệu vị trí địa chỉ IP. Nó cũng trích xuất tên người dùng và kiểm tra xem có chứa chuỗi "John" hoặc "WORK" hay không, nếu có, nó sẽ dừng thực thi.
"Grandoreiro tìm kiếm các giải pháp chống phần mềm độc hại như Avast, Bitdefender, Nod32, Kaspersky, McAfee, Windows Defender, Sophos, Virus Free, Adaware, Symantec, Tencent, Avira, ActiveScan và CrowdStrike", công ty cho biết. "Nó cũng tìm kiếm phần mềm bảo mật ngân hàng, chẳng hạn như Topaz OFD và Trusteer".
Một chức năng đáng chú ý khác của phần mềm độc hại là kiểm tra sự hiện diện của một số trình duyệt web, ứng dụng email, VPN và ứng dụng lưu trữ đám mây trên hệ thống và theo dõi hoạt động của người dùng trên các ứng dụng đó. Hơn nữa, nó có thể hoạt động như một công cụ cắt để chuyển hướng các giao dịch tiền điện tử đến các ví do tác nhân đe dọa kiểm soát.
Các chuỗi tấn công mới hơn được phát hiện sau vụ bắt giữ năm nay bao gồm rào cản CAPTCHA trước khi thực hiện tải trọng chính như một cách để vượt qua phân tích tự động.
Phiên bản mới nhất của Grandoreiro cũng đã nhận được các bản cập nhật đáng kể, bao gồm khả năng tự cập nhật, ghi lại các lần nhấn phím, chọn quốc gia để liệt kê nạn nhân, phát hiện các giải pháp bảo mật ngân hàng, sử dụng Outlook để gửi email rác và theo dõi email Outlook để tìm các từ khóa cụ thể.
Nó cũng được trang bị để ghi lại chuyển động của chuột, báo hiệu nỗ lực bắt chước hành vi của người dùng và đánh lừa các hệ thống chống gian lận xác định hoạt động là hợp pháp.
Các nhà nghiên cứu cho biết "Phát hiện này làm nổi bật sự phát triển liên tục của phần mềm độc hại như Grandoreiro, nơi những kẻ tấn công ngày càng kết hợp các chiến thuật được thiết kế để chống lại các giải pháp bảo mật hiện đại dựa trên sinh trắc học hành vi và máy học".
Sau khi có được thông tin xác thực, các tác nhân đe dọa sẽ rút tiền vào các tài khoản thuộc về những kẻ chuyển tiền địa phương thông qua các ứng dụng chuyển tiền, tiền điện tử hoặc thẻ quà tặng hoặc ATM. Những con la này được nhận dạng bằng kênh Telegram và được trả 200 đến 500 đô la mỗi ngày cho nỗ lực của mình.
Truy cập từ xa vào máy nạn nhân được tạo điều kiện thuận lợi bằng cách sử dụng một công cụ dựa trên Delphi có tên là Operator, công cụ này sẽ hiển thị danh sách nạn nhân bất cứ khi nào họ bắt đầu duyệt trang web của một tổ chức tài chính mục tiêu.
"Những kẻ đe dọa đứng sau phần mềm độc hại ngân hàng Grandoreiro liên tục phát triển các chiến thuật và phần mềm độc hại của chúng để thực hiện thành công các cuộc tấn công vào mục tiêu của chúng và trốn tránh các giải pháp bảo mật", Kaspersky cho biết.
"Trojan ngân hàng Brazil đã là mối đe dọa quốc tế; chúng đang lấp đầy khoảng trống do các băng đảng Đông Âu để lại sau khi chuyển sang ransomware".
Sự phát triển này diễn ra vài tuần sau khi công ty an ninh mạng Scitum của Mexico cảnh báo về một chiến dịch mới có tên là Gecko Assault liên quan đến việc phân phối hai nhóm phần mềm độc hại ngân hàng khác nhau là Mispadu và Mekotio để nhắm mục tiêu vào người dùng Windows từ khu vực Mỹ Latinh (LATAM).
Người dùng LATAM, đặc biệt là những người ở Brazil, cũng đã bị một trojan ngân hàng khác có tên mã là Silver Oryx Blade nhắm mục tiêu với mục đích đánh cắp thông tin tài chính nhạy cảm khi họ truy cập vào các trang web ngân hàng trên trình duyệt web của họ.
"Silver Oryx Blade có thể đánh cắp thông tin ngân hàng từ mọi loại người dùng, bao gồm cả nhân viên của các tổ chức", Scitum lưu ý. "Ngoài ra, nó còn có khả năng thực hiện lệnh."
"Phương pháp phân phối của trojan này là thông qua email lừa đảo (nhắm mục tiêu vào người dùng Brazil) sử dụng các lý do như tiền thưởng lương, chuyển PIX và thông báo tài chính, mạo danh phòng tài chính nhân sự và Bộ Tài chính Brazil."
Hương – Theo TheHackerNews
Tin liên quan:
NTS xin thông báo đến Quý khách hàng thời gian kì nghỉ của công ty năm 2024 từ Thứ Bảy 30/11/2024 đến thứ Hai 02/12/2024. Chúng tôi làm việc trở lại...
Chi tiếtCác nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiến dịch nhắm vào Úc, Nhật Bản, Tây Ban Nha, Vương...
Chi tiếtGoogle đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh email khi đăng ký dịch vụ trực tuyến và chống thư rác...
Chi tiết