Mã độc ngân hàng Grandoreiro quay trở lại

Trojan ngân hàng Grandoreiro đang được phát tán trong chiến dịch phishing quy mô lớn ở hơn 60 quốc gia, nhắm mục tiêu vào tài khoản khách hàng của khoảng 1.500 ngân hàng.

Hồi tháng 1/2024, một hoạt động thực thi pháp luật quốc tế có sự tham gia của Brazil, Tây Ban Nha, Interpol, ESET và Ngân hàng Caixa đã thông báo về việc gỡ bỏ mã độc nhắm mục tiêu vào các quốc gia nói tiếng Tây Ban Nha. Mã độc này hoạt động từ năm 2017 và gây thiệt hại 120 triệu USD.

Trong vụ việc, các nhà chức trách tiến hành 5 vụ bắt giữ và 13 hoạt động khám xét trên khắp Brazil.

Tuy nhiên, nhóm X-Force của IBM vừa báo cáo rằng, Grandoreiro có vẻ đã quay trở lại trong chiến dịch quy mô lớn kể từ tháng 3/2024. Có khả năng mã độc này được cho thuê thông qua mô hình MaaS và hiện nhắm mục tiêu đến các quốc gia nói tiếng Anh.

Bên cạnh đó, bản thân trojan đã trải qua một cuộc cải tiến kỹ thuật, bổ sung thêm nhiều tính năng mạnh mẽ. Điều này cho thấy kẻ đứng sau mã độc đã không bị bắt giữ và ‘lọt lưới’ trong cuộc trấn áp trước đó.

Các email phishing mà IBM phát hiện mạo danh các cơ quan chính phủ ở Mexico, Argentina và Nam Phi, chủ yếu là các tổ chức quản lý thuế, ủy ban điện lực liên bang…

Các email được viết bằng ngôn ngữ mẹ đẻ của người nhận, kết hợp các biểu trưng và định dạng giả mạo đơn vị chính thống, đồng thời chứa yêu cầu hành động, chẳng hạn như nhấp vào liên kết để xem hóa đơn, báo cáo tài khoản hoặc chứng từ thuế.

Khi người nhận nhấp vào những email đó, họ sẽ bị chuyển hướng đến hình ảnh của tệp PDF, kích hoạt tải xuống tệp ZIP chứa file thực thi, đó là loader Grandoreiro.

Nguồn: Bleeping Computer