Các chuyên gia phát hiện ra một Banking Trojan mới nhắm đến người dùng Mỹ Latin.



Các nhà nghiên cứu hôm thứ Ba đã tiết lộ chi tiết về một trojan ngân hàng mới nhắm tới người dùng là doanh nghiệp ở Brazil ít nhất kể từ năm 2019 trên nhiều lĩnh vực khác nhau như kỹ thuật, chăm sóc sức khỏe, bán lẻ, sản xuất, tài chính, giao thông vận tải và chính phủ.

Được công ty an ninh mạng ESET của Slovakia đặt tên là “Janeleiro”, malware này nhằm mục đích ngụy trang thông qua các pop-up trông giống như trang web của một số ngân hàng lớn nhất trong nước, bao gồm Itaú Unibanco, Santander, Banco do Brasil , Caixa Econômica Federal, và Banco Bradesco.

“Các pop-up này chứa các biểu mẫu giả mạo, nhằm mục đích lừa nạn nhân của malware nhập thông tin ngân hàng và thông tin cá nhân mà malware ghi lại được và chuyển đến các [command-and-control] servers “, các nhà nghiên cứu của ESET, Facundo Muñoz và Matías Porolli cho biết trong một bài viết.

Mô hình này không phải là mới đối với Banking Trojan. Vào tháng 8 năm 2020, ESET đã phát hiện ra một Banking Trojan Mỹ Latinh (LATAM) có tên là Mekotio đã hiển thị các pop-up giả mạo tương tự cho các nạn nhân của nó nhằm cố gắng dụ họ tiết lộ ra những thông tin nhạy cảm.

Nhưng Janeleiro nổi bật vì một số lý do. Thứ nhất, malware được viết bằng Visual Basic .NET, mà các nhà nghiên cứu nói là một “sai lệch lớn” so với ngôn ngữ lập trình Delphi thường được ưa chuộng hơn với các hacker trong khu vực . Nó cũng không dựa vào các thuật toán mã hóa tùy chỉnh hoặc layers of obfuscation và thậm chí sử dụng lại mã lấy từ NjRAT, một điều hiếm gặp trong số các banking trojan LATAM.

Cuộc tấn công bắt đầu bằng một phishing email giả mạo là một hóa đơn chưa thanh toán, chứa một liên kết mà nếu nhấp chuột vào, sẽ tải xuống tệp ZIP. Tệp lưu trữ đi kèm với trình cài đặt MSI tải DLL trojan chính, sau đó tìm nạp địa chỉ IP của các  command-and-control (C2) servers từ trang GitHub dường như được tạo bởi các tác giả của malware. Liên kết cuối cùng trong chuỗi lây nhiễm liên quan đến việc chờ lệnh từ C2 server.

Do đó, trong trường hợp, người dùng truy cập trang web của một tổ chức ngân hàng mà họ quan tâm tới, Janeleiro kết nối với C2 server và hiển thị  các pop-up gian lận, đồng thời ghi lại các lần gõ phím và thông tin khác được nhập vào các biểu mẫu giả mạo.

ESET cho biết họ đã phát hiện ra 4 phiên bản của Janeleiro trong khoảng thời gian từ tháng 9 năm 2019 đến tháng 3 năm 2021.

Đây không phải là lần đầu tiên banking trojan được phát hiện tấn công người dùng Brazil. Năm ngoái, Kaspersky đã nêu chi tiết về ít nhất bốn loại malware – Guildma, Javali, Melcoz và Grandoreiro – được phát hiện là đã nhắm tới vào các tổ chức tài chính ở Brazil, Mỹ Latinh và Châu Âu.

Sau đó vào đầu tháng 1 này, ESET đã tiết lộ một banking trojan mới dựa trên Delphi có tên “Vadokrist” được phát hiện là chỉ tấn công đến Brazil trong khi có chung điểm tương đồng với các họ malware khác như Amavaldo, Casbaneiro, Grandoreiro và Mekotio.

“Janeleiro đi theo kế hoạch chi tiết độc nhất cho việc triển khai điều cốt lõi của các pop-up giả mạo như nhiều banking trojan LATAM, điều này dường như không phải là ngẫu nhiên hay hay theo cảm hứng: hacker này sử dụng và phân phối Janeleiro chia sẻ cơ sở hạ tầng giống như một số cái tên nổi bật nhất trong số các họ malware đang hoạt động này, “các nhà nghiên cứu kết luận.

nguồn: thehackernews



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật