Trước đó, bắt đầu từ tháng 3/2024 các tác nhân đe dọa đứng sau trojan ngân hàng Grandoreiro đã quay trở lại trong một chiến dịch toàn cầu sau khi bị cơ quan thực thi pháp luật triệt phá vào tháng 1/2024.
Được biết, Grandoreiro chủ yếu tập trung hoạt động tại Châu Mỹ Latinh, Bồ Đào Nha và Tây Ban Nha. Tuy nhiên, việc mở rộng phạm vi tấn công rất có khả năng là sự thay đổi trong chiến lược của những kẻ tấn công.
Các nhà nghiên cứu bảo mật Golo Mühr và Melissa Frydrych chia sẻ: Việc phân tích phần mềm độc hại cho thấy những thay đổi lớn trong thuật toán giải mã chuỗi, tạo tên miền và khả năng lạm dụng Microsoft Outlook để phát tán các email lừa đảo.
Những kẻ tấn công thực hiện gửi các email lừa đảo để lừa người nhận nhấp vào liên kết xem hóa đơn hoặc thanh toán. Khi người dùng nhấp vào liên kết đó sẽ được chuyển hướng đến hình ảnh biểu tượng PDF rồi dẫn đến việc tải tệp ZIP - đây chính là nơi chứa tệp thực thi Grandoreiro loader.
Theo đó, phần mềm loader đã được phóng đại kích thước lên hơn 100 MB để vượt qua các công cụ quét mã độc. Bên cạnh đó, phần mềm này cũng được thiết kế để đảm bảo máy chủ bị xâm nhập không ở trong môi trường sandbox. Sau đó, thu thập thông tin của nạn nhân và gửi đến máy chủ kiểm soát tấn công – C2, đồng thời tải xuống rồi thực thi trojan ngân hàng.
Grandoreiro có khả năng cung cấp nhiều lệnh khác nhau để hacker điều khiển hệ thống từ xa, thực hiện các thao tác tệp và kích hoạt các chế độ đặc biệt.
Phiên bản Grandoreiro mới xuất hiện này được đánh giá đã có nhiều cải thiện so với bản trước đó. Cụ thể, hacker đã tích hợp AES CBC và các thuật toán riêng nhằm mã hóa dữ liệu. Ngoài ra, giới thiệu thuật toán sinh tên miền để lấy địa chỉ IP của máy chủ C&C và một loạt các công cụ tải trọng nhằm ngăn chặn sự phát hiện từ các công ty an ninh.
Một số nguồn tin cho biết phần mềm này sẽ thực hiện thêm một bước xác minh để bỏ qua các hệ thống được định vị ở Séc, Nga, Hà Lan và Ba Lan cũng như các máy Windows 7 có trụ sở tại Mỹ chưa cài đặt phần mềm chống vi-rút.
Hiện tại, phạm vi tấn công của Trojan này đã được mở rộng từ thu thập khóa ngân hàng trực tuyến trên thiết bị của người dùng sang thu thập thông tin ví tiền kỹ thuật số của người dùng. Không những thế, trojan đã có thêm cơ chế lan truyền tự động và sử dụng thông tin trên thiết bị của nạn nhân tới ứng dụng khách Outlook. Sau đó, sử dụng địa chỉ email của nạn nhân để gửi ngẫu nhiên các email lừa đảo cho người khác.
Để hạn chế tối đa nguy cơ trở thành nạn nhân của các cuộc tấn công, người dùng cần đặc biệt cảnh giác khi nhận được những email lạ. Đồng thời, tuyệt đối không truy cập vào đường link hay tải xuống, mở tệp đính kèm trong email nếu nguồn gửi không tin cậy hoặc nội dung email có những điểm đáng ngờ.
