4 banking trojan nguy hiểm của Brazil mở rộng tấn công các tổ chức tài chính trên toàn cầu

Mới đây, các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về bốn loại banking trojan đến từ Brazil đang nhắm mục tiêu vào các tổ chức tài chính ở Brazil, Mỹ Latinh và châu Âu.



Được các nhà nghiên cứu của Kaspersky gọi chung là “Tetrade”, nhóm malware này bao gồm Guildma, Javali, Melcoz và Grandoreiro. Chúng được phát triển để hoạt động như một backdoor và áp dụng nhiều kỹ thuật che giấu khác nhau để ẩn đi các hoạt động độc hại khỏi sự phát hiện của phần mềm bảo mật.



“Guildma, Javali, Melcoz và Grandoreiro tiếp tục là ví dụ của một nhóm banking trojan từ Brazil đã quyết định mở rộng phạm vi tấn công ra nước ngoài, và nhắm mục tiêu tới các ngân hàng tại các quốc gia khác,” Kaspersky cho biết trong một bài phân tích .



“Những kẻ tấn công này đã lợi dụng thực tế rằng nhiều ngân hàng hoạt động ở Brazil cũng đồng thời có chi nhánh hoạt động ở những quốc gia khác thuộc Mỹ Latinh và châu Âu. Điều này đã giúp chúng dễ dàng hơn trong việc mở rộng các cuộc tấn công nhắm đến khách hàng của các tổ chức tài chính này.”



Một quy trình triển khai mã độc nhiều giai đoạn



Cả Guildma và Javali đều áp dụng một quy trình triển khai mã độc nhiều giai đoạn. Chúng sử dụng email phishing để làm cơ chế phân phối các payload đầu tiên.



Kaspersky còn phát hiện ra rằng ngoài việc bổ sung các tính năng mới và các kỹ thuật che giấu cải tiến hơn so với các chiến dịch ban đầu từ năm 2015, Guildma hiện tại còn mở rộng phạm vi tấn công sang các mục tiêu mới ngoài Brazil và nhắm tới người dùng ngân hàng thuộc khu vực Mỹ Latinh.



Chẳng hạn như, một phiên bản mới của mã độc này đã sử dụng các file đính kèm email đã nén (ví dụ: .VBS, .LNK) làm vectơ tấn công để che giấu các payload độc hại, hay sử dụng một file HTML thực thi một đoạn mã JavaScript để tải xuống file và lấy (fetch) các mô-đun khác bằng cách sử dụng một công cụ command-line hợp pháp như BITSAdmin .



Ngoài ra, mã độc này còn lợi dụng Luồng dữ liệu thay thế NTFS (Alternate Data Stream) để che giấu sự hiện diện của các payload đã tải xuống trong các hệ thống mục tiêu. Đồng thời lợi dụng tấn công chiếm quyền điều khiển DLL để khởi chạy mã nhị phân của mã độc, và chỉ tiếp tục khai thác nếu chắc chắn rằng môi trường mục tiêu không chứa các công cụ debug hay công cụ ảo hóa.



“Để có thể thực thi các mô-đun bổ sung, mã độc này sử dụng kỹ thuật process hollowing để che giấu payload độc hại trong một process thuộc danh sách trắng, ví dụ như svchost.exe,” Kaspersky nói. Được biết các mô-đun này được tải xuống từ một máy chủ do kẻ tấn công kiểm soát, và thông tin của máy chủ này thì được lưu trữ và mã hóa trên các trang Facebook và YouTube.



Sau khi được cài đặt, payload cuối cùng sẽ giám sát các trang web ngân hàng mục tiêu, và khi được mở, nó sẽ kích hoạt một loạt các hoạt động cho phép tội phạm mạng thực hiện bất kỳ giao dịch tài chính nào bằng cách sử dụng máy tính của nạn nhân.



Với phương thức tấn công tương tự, mã độc Javali (hoạt động từ tháng 11 năm 2017) tải các payload được gửi qua email để lấy một malware ở giai đoạn cuối từ một máy chủ C2 từ xa. Malware này có khả năng đánh cắp thông tin tài chính và thông tin đăng nhập của những người dùng ở Brazil và Mexico đang truy cập các trang web tiền điện tử (Bittrex) hay các giải pháp thanh toán trực tuyến (Mercado Pago).



Đánh cắp mật khẩu và ví tiền điện tử Bitcoin



Melcoz, một biến thể của RAT Remote Access PC mã nguồn mở, đã bị phát hiện có liên quan tới một loạt các cuộc tấn công ở Chile và Mexico kể từ năm 2018. Mã độc này có khả năng đánh cắp mật khẩu từ clipboard, trình duyệt và ví Bitcoin bằng cách thay thế thông tin ví gốc với các thông tin không minh bạch thuộc sở hữu của kẻ tấn công.



Nó lợi dụng các VBS script trong các installer package file (.MSI) để tải xuống mã độc trên hệ thống và sau đó lạm dụng trình thông dịch AutoIt và dịch vụ VMware NAT để tải DLL độc hại trên hệ thống mục tiêu..



“Mã độc cho phép kẻ tấn công hiển thị một cửa sổ lớp phủ (overlay window) trước trình duyệt của nạn nhân để thao túng phiên của người dùng ở nền sau (background). Bằng cách này, các giao dịch gian lận được thực hiện ngay từ máy của nạn nhân, và khiến việc phát hiện các hành vi tấn công này trở nên khó khăn hơn cho các phần mềm chống gian lận của ngân hàng,” các nhà nghiên cứu cho biết. 



Hơn nữa, kẻ tấn công cũng có thể yêu cầu các thông tin cụ thể được hỏi trong một giao dịch ngân hàng thông thường, chẳng hạn như mật khẩu sử dụng một lần (OTP), và từ đó vượt qua được khâu xác thực hai yếu tố (two-factor authentication).



Và cuối cùng là Grandoreiro. Mã độc này đã bị theo dõi và phát hiện có liên quan tới một chiến dịch tấn công lan rộng khắp Brazil, Mexico, Bồ Đào Nha và Tây Ban Nha kể từ năm 2016. Nó cho phép kẻ tấn công thực hiện các giao dịch ngân hàng gian lận bằng cách sử dụng máy tính của nạn nhân để tránh né các biện pháp bảo mật được sử dụng bởi các ngân hàng.



Mã độc này được lưu trữ trên các trang Google Site và được phân phối thông qua các trang web bị xâm nhập, Google Ads hoặc thông qua các phương thức lừa đảo spear-phishing, bên cạnh việc sử dụng Thuật toán tạo miền (DGA) để che giấu địa chỉ máy chủ C2 được sử dụng trong suốt cuộc tấn công.



“Những kẻ lừa đảo người Brazil này đang hoạt động hết tốc lực để tạo ra một hệ sinh thái các chi nhánh. Chúng tăng cường tuyển dụng tội phạm mạng để hợp tác làm việc tại các quốc gia khác nhau. Đồng thời, áp dụng MaaS (malware-as-a-service) và nhanh chóng bổ sung các kỹ thuật mới vào mã độc để giữ cho nó thích ứng với các môi trường khác nhau và hấp dẫn về mặt tài chính nhằm thu hút các đối tác tiềm năng,” Kaspersky kết luận.



“Các loại trojan ngân hàng này cố gắng đổi mới bằng cách sử dụng DGA, các payload được mã hóa, process hollowing, chiếm quyền điều khiển DLL, cùng rất nhiều kỹ thuật LoLBins ( Living Off the Land Binaries – sống ngoài luồng), fileless malware và nhiều thủ thuật khác nhằm cản trở việc phân tích và tránh bị phát hiện. Chúng tôi tin rằng những mã độc này sẽ tiếp tục phát triển và mở rộng mục tiêu tấn công tới nhiều ngân hàng khác nhau trên toàn cầu.”



Theo The Hacker News
The post 4 banking trojan nguy hiểm của Brazil mở rộng tấn công các tổ chức tài chính trên toàn cầu appeared first on SecurityDaily .