Hãng bảo mật Kaspersky vừa phát hiện biến thể mới của malware Grandoreiro nhắm vào các ngân hàng tại Mexico.
Tại Hội nghị Thượng đỉnh Phân tích Bảo mật (SAS) 2024, nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky đã công bố một phát hiện quan trọng: phiên bản Lite của malware Grandoreiro đang tấn công khoảng1.700 ngân hàng, và con số này chiếm tới 5% tổng số cuộc tấn công ngân hàng sử dụng trojan trên toàn cầu trong năm nay. Dù những kẻ chủ mưu đằng sau Grandoreiro đã bị bắt giữ từ đầu năm, các nhóm tội phạm mạng khác vẫn tiếp tục sử dụng loại malware này để thực hiện các vụ tấn công ngân hàng. Grandoreiro hiện là một trong các mối đe dọa lớn nhất trong ngành bảo mật tài chính, chiếm khoảng 5% tổng số các vụ tấn công bằng trojan trên toàn cầu trong năm nay, với Mexico là một trong các quốc gia bị ảnh hưởng nhiều nhất, ghi nhận hơn 51.000 cuộc tấn công từ các biến thể khác nhau của Grandoreiro.
Với sự hợp tác cùng INTERPOL, Kaspersky đã hỗ trợ chính quyền Brazil bắt giữ những kẻ điều hành đằng sau Grandoreiro. Gần đây, Kaspersky phát hiện các biến thể trojan dạng gọn nhẹ, nhắm mục tiêu cụ thể vào các ngân hàng tại Mexico. Điều này cho thấy một số nhóm tội phạm mạng vẫn có khả năng truy cập mã nguồn của Grandoreiro và triển khai các phiên bản malware đơn giản hơn nhằm tiếp tục các chiến dịch tấn công.
Ông Fabio Assolini, Trưởng nhóm GReAT khu vực Mỹ Latinh của Kaspersky, chia sẻ rằng các phiên bản malware gọn nhẹ đang mở rộng ra ngoài khu vực Mỹ Latinh. Tuy nhiên, chỉ một số đối tác được chọn của nhóm tội phạm mới có quyền truy cập mã nguồn để phát triển các phiên bản Lite mới này. Grandoreiro không hoạt động theo mô hình “Malware-as-a-Service” thông thường mà thay vào đó mã nguồn được bảo mật, không được rao bán công khai.
Trong năm 2024, Kaspersky phát hiện rằng Grandoreiro đã cải tiến nhiều chiến thuật tấn công mới, chẳng hạn mô phỏng chuyển động chuột tự nhiên để qua mặt các hệ thống bảo mật dựa trên phân tích hành vi. Bằng kỹ thuật mô phỏng này, malware có thể “đánh lừa” các công cụ bảo mật phát hiện hoạt động bất thường. Grandoreiro cũng sử dụng kỹ thuật mã hóa Ciphertext Stealing (CTS), một phương pháp chưa từng thấy trong các malware khác, nhằm tránh bị phát hiện và gây khó khăn cho các nhà phân tích bảo mật.
Theo dữ liệu từ Kaspersky, Grandoreiro đã xuất hiện từ năm 2016 và tính đến nay đã nhắm mục tiêu hơn 1.500 tổ chức tài chính và 276 ví điện tử tại 45 quốc gia. Trong năm 2024, danh sách mục tiêu của Grandoreiro đã mở rộng sang các khu vực châu Á và châu Phi, biến loại malware này thành mối đe dọa tài chính toàn cầu.
Để biết thêm thông tin, độc giả có thể tham khảo Securelist, nền tảng trực tuyến của Kaspersky chia sẻ thông tin và phân tích các mối đe dọa bảo mật mới nhất. Nhóm GReAT của Kaspersky sẽ tiếp tục trình bày chi tiết về Grandoreiro tại Hội nghị SAS lần thứ 16, diễn ra từ 22 đến 25 tháng 10 năm 2024 tại Bali, Indonesia.