Trojan ngân hàng Grandoreiro comeback cực mạnh, nhắm thẳng hơn 1.500 ngân hàng toàn cầu

Chưa đầy năm đã quay lại rồi các bro ơi! Những kẻ đứng sau trojan ngân hàng Grandoreiro vừa mới bị cảnh sát triệt phá hồi tháng 1/2024, nhưng chỉ sau 2 tháng đã comeback ngay từ tháng 3 với một chiến dịch tấn công toàn cầu cực khủng.

Theo IBM X-Force thì lũ hacker này đang thả phishing email ầm ầm, nhắm vào hơn 1.500 ngân hàng khắp thế giới luôn Phạm vi trải rộng trên 60 quốc gia từ Trung và Nam Mỹ, Châu Phi, Châu Âu cho đến Ấn Độ Dương-Thái Bình Dương.

Trước đây Grandoreiro chủ yếu hoạt động ở khu vực Châu Mỹ Latinh, Tây Ban Nha và Bồ Đào Nha thôi. Nhưng giờ mở rộng phạm vi thế này chắc là do bị chính quyền Brazil đập tan cơ sở hạ tầng nên phải đổi chiến thuật rồi đây

Không chỉ mở rộng target, lũ này còn nâng cấp phần mềm độc hại nữa chứ. Sự phát triển của mối đe dọa này đáng lo thật sự!

Hai nhà nghiên cứu bảo mật Golo Mühr và Melissa Frydrych cho biết: "Phân tích phần mềm độc hại cho thấy những thay đổi lớn trong thuật toán giải mã chuỗi và tạo tên miền (DGA), cũng như khả năng lạm dụng ứng dụng Microsoft Outlook trên các máy bị xâm phạm để phát tán các email lừa đảo".

1b0c5245d883b8beceed.jpg


Chiêu trò của bọn hacker ra sao?

Mọi chuyện bắt đầu từ những email lừa đảo kiểu "xem hóa đơn" hay "thanh toán ngay" gì đó, tùy vào mục tiêu và tổ chức nào đang bị mạo danh.

Khi nạn nhân "ngây thơ" click vào link trong email, sẽ bị chuyển đến hình ảnh trông như icon PDF, rồi tự nhiên tải về file ZIP chứa Grandoreiro loader (cái này chính là cửa ngõ để trojan xâm nhập đó).

File loader này được làm phình lên hơn 100 MB để qua mặt các phần mềm quét virus Nó còn được code để kiểm tra xem máy có phải đang trong môi trường sandbox không, thu thập thông tin nạn nhân gửi về máy chủ C2 (command and control), rồi mới tải xuống và chạy trojan ngân hàng thật.

Điểm đặc biệt là malware này còn có thêm bước verify để tránh các hệ thống ở Nga, Séc, Ba Lan và Hà Lan, cũng như các máy Windows 7 ở Mỹ chưa cài antivirus. Chắc là lũ này biết chọn mặt gửi vàng lắm

Khi trojan đã vào máy rồi thì sao?

Trojan sẽ thiết lập quyền truy cập lâu dài thông qua Windows Registry, sau đó dùng thuật toán DGA đã được chỉnh sửa để kết nối với máy chủ C2 nhận lệnh tấn công tiếp theo.

Grandoreiro cung cấp cả tá lệnh khác nhau cho phép hacker điều khiển hệ thống từ xa, thao tác file và kích hoạt các chế độ đặc biệt. Đặc biệt có thêm một module mới dùng để lấy dữ liệu Microsoft Outlook và lợi dụng email của nạn nhân để gửi tin nhắn lừa đảo đến các mục tiêu khác nữa.

Các nhà nghiên cứu cho biết: "Bằng cách sử dụng ứng dụng Outlook cục bộ để phát tán thư rác, Grandoreiro có thể lây lan qua hộp thư đến của nạn nhân bị nhiễm qua email, điều này có thể góp phần tạo ra lượng lớn thư rác đã được phát hiện".

Làm sao để tự bảo vệ mình?

Nguyên tắc vàng: luôn phải cảnh giác với email lạ! ⚠️

Nguồn: soha.vn
 
Back
Top