Grandoreiro là một mã độc banking trojan hoạt động âm thầm từ năm 2016 và đang quay trở lại với các chiến dịch mới nhắm vào ngân hàng và doanh nghiệp tại Bồ Đào Nha, Tây Ban Nha, Mexico và khu vực Mỹ Latin. Đây là một trường hợp đáng chú ý trong nhóm tin tức bảo mật liên quan đến mã độc banking trojan, với cách phân phối và che giấu lưu lượng ngày càng tinh vi.
Hoạt động của Grandoreiro và phạm vi tấn công
Grandoreiro đã tồn tại nhiều năm dù chịu áp lực truy quét từ lực lượng thực thi pháp luật. Các chiến dịch gần đây cho thấy mối đe dọa vẫn tiếp diễn và chưa có dấu hiệu chậm lại. Mục tiêu bị nhắm tới gồm hơn 20 ngân hàng tại Bồ Đào Nha, cùng các dịch vụ tài chính như Revolut và Wise.
Ảnh hưởng của mã độc banking trojan này không chỉ giới hạn ở cá nhân mà còn mở rộng đến tổ chức tài chính và khách hàng doanh nghiệp. Sự kết hợp giữa phishing, kỹ thuật ẩn mình và khai thác hạ tầng đám mây khiến việc phát hiện và chặn lọc trở nên khó khăn hơn.
Tham chiếu kỹ thuật liên quan
Tài liệu phân tích gốc từ WatchGuard có thể xem tại đây: WatchGuard Security Hub.
Kỹ thuật xâm nhập và phát tán
Các chiến dịch sử dụng phishing làm điểm vào ban đầu. Nạn nhân bị lừa nhấp vào liên kết dẫn tới tệp chứa mã độc, sau đó payload được thả xuống máy trạm. Đây là mô hình điển hình của tấn công mạng nhắm vào người dùng cuối, kết hợp social engineering với cơ chế tải mã độc nhiều lớp.
Nhà nghiên cứu ghi nhận hai chiến dịch hoạt động đồng thời: một chiến dịch dùng DLL Side-Loading, chiến dịch còn lại dùng VBS script độc hại để cài đặt mã độc. Cả hai đều tận dụng dịch vụ đám mây và nền tảng tin cậy nhằm hòa lẫn vào lưu lượng hợp lệ.
Chuỗi lây nhiễm qua DLL Side-Loading
Chiến dịch đầu tiên sử dụng kỹ thuật DLL Side-Loading với bốn tệp DLL độc hại:
- libwebp.dll
- mingw10.dll
- libffi-6.dll
- libpng15.dll
Những tệp này giả dạng thành thành phần phần mềm hợp lệ. Chúng được xây dựng bằng Delphi 11 và chứa các thành phần SGC WebSockets liên kết với WebRTC. Mục đích là làm cho lưu lượng độc hại trông giống dữ liệu cuộc gọi video hoặc giao tiếp thời gian thực bình thường.
Ở lớp mạng, mỗi DLL kết nối tới một nhà cung cấp đám mây khác nhau. Một tệp dùng Google Cloud Pub/Sub, một tệp dùng Microsoft Azure với giao thức MQTT, và một tệp khác kết nối tới Amazon cũng qua MQTT.
Chuỗi lây nhiễm qua VBS script
Chiến dịch thứ hai dẫn nạn nhân tới một trang web giả được lưu trữ trên máy chủ Contabo, có cơ chế geofencing để chỉ hiển thị cho người dùng ở vùng mục tiêu. Trang này chứa liên kết tải tệp trên Mediafire; sau khi tải về, một VBS script được làm rối mạnh sẽ cài đặt mã độc lên máy nạn nhân.
Sau khi chạy, mã độc hiển thị thông báo cập nhật Adobe Reader giả để đánh lạc hướng trong khi thực hiện các kiểm tra nền. Đây là một kỹ thuật che giấu thường gặp trong các chiến dịch mã độc banking trojan nhằm kéo dài thời gian tồn tại trên hệ thống.
Che giấu lưu lượng bằng hạ tầng đám mây
Grandoreiro sử dụng các nền tảng như Google Cloud, Microsoft Azure và Amazon để pha trộn lưu lượng độc hại vào hoạt động mạng thường nhật. Trong bối cảnh lưu lượng web conferencing hoặc dịch vụ đám mây vốn phổ biến, việc ẩn mình trong các mẫu lưu lượng này giúp giảm khả năng bị phát hiện.
Đây là một điểm quan trọng trong tin tức an ninh mạng hiện tại: kẻ tấn công không chỉ phát tán payload mà còn tối ưu hóa đường truyền để né tránh các cơ chế giám sát bề mặt. Với các môi trường chỉ dựa vào lọc email hoặc endpoint cơ bản, nguy cơ bị bỏ sót là đáng kể.
Hành vi sau khi xâm nhập
Chiến dịch dùng VBS và trang giả Adobe Reader thực hiện nhiều bước kiểm tra trước khi tiến hành đánh cắp dữ liệu. Mã độc truy vấn vị trí nạn nhân qua dịch vụ tra cứu IP công khai, kiểm tra xem máy có thuộc môi trường nghiên cứu hay không, rồi mới tiếp tục hoạt động.
Sau đó, nó thực hiện các hành vi chính của mã độc banking trojan:
- Đánh cắp thông tin đăng nhập.
- Ghi lại phím bấm bằng keylogging.
- Theo dõi clipboard.
- Hiển thị lớp phủ giả trang ngân hàng để thu thập thông tin đăng nhập.
Trong chiến dịch DLL Side-Loading, mã độc còn có khả năng kiểm tra công cụ debug, môi trường ảo và phần mềm bảo mật đã cài đặt trước khi thực thi hoàn chỉnh. Nó cũng tìm kiếm tên máy và đường dẫn thư mục thường thấy trong môi trường phân tích, đồng thời có thể ép trình duyệt vào Kiosk Mode để khóa người dùng trong một cửa sổ toàn màn hình duy nhất.
IOC và dấu hiệu kỹ thuật đáng chú ý
Nội dung gốc có đề cập đến phần Indicators of Compromise (IoCs), nhưng không liệt kê cụ thể địa chỉ IP hoặc domain trong phần văn bản trích xuất. Dưới đây là các IOC kỹ thuật có thể trích ra trực tiếp từ mô tả chiến dịch:
- libwebp.dll
- mingw10.dll
- libffi-6.dll
- libpng15.dll
- Contabo hosting
- Mediafire link tải payload
- Google Cloud Pub/Sub
- Microsoft Azure MQTT
- Amazon MQTT
- Dropbox làm nơi lưu trữ tệp ZIP độc hại
Các địa chỉ IP và domain được mô tả là đã được defang để tránh truy cập nhầm. Khi xử lý trong threat intelligence, cần chỉ re-fang trong môi trường kiểm soát như MISP, VirusTotal hoặc SIEM.
Ảnh hưởng hệ thống và rủi ro bảo mật
Grandoreiro gây ra rủi ro bảo mật trực tiếp cho người dùng tài chính và doanh nghiệp vì mục tiêu chính là thông tin xác thực, phiên đăng nhập và dữ liệu thao tác bàn phím. Khi kết hợp với lớp phủ giả mạo và theo dõi clipboard, mã độc có thể dẫn đến đánh cắp dữ liệu và truy cập trái phép vào tài khoản.
Ở cấp độ hệ thống, chiến dịch cho thấy một mô hình hệ thống bị xâm nhập thông qua chuỗi lừa đảo, tải xuống payload, kiểm tra môi trường, rồi thực hiện giám sát và trích xuất dữ liệu. Đây là một ví dụ điển hình của nguy cơ bảo mật trong các hạ tầng phụ thuộc mạnh vào email, trình duyệt và dịch vụ đám mây.
Yêu cầu phát hiện và giám sát
Khuyến nghị từ nghiên cứu là vượt ra ngoài mô hình bảo vệ email và endpoint cơ bản. Cần triển khai phát hiện xâm nhập theo nhiều lớp, kết hợp giám sát hành vi trên người dùng, thiết bị và hạ tầng cloud.
Trong bối cảnh mã độc banking trojan ngày càng biết cách ẩn trong lưu lượng hợp lệ, lớp phòng thủ nên ưu tiên các tín hiệu sau:
- Phát hiện tệp DLL bất thường được side-load.
- Giám sát script VBS được tải từ nguồn lưu trữ công khai.
- Phân tích lưu lượng WebRTC và MQTT bất thường trong môi trường không dùng dịch vụ này.
- Kiểm tra hành vi Kiosk Mode hoặc cửa sổ toàn màn hình bất thường.
- Phát hiện truy vấn IP lookup công khai từ tiến trình lạ.
Đây là cách tiếp cận phù hợp để giảm rủi ro an toàn thông tin trước các chiến dịch mã độc banking trojan như Grandoreiro. Việc cập nhật bản vá bảo mật, tăng cường kiểm soát script và theo dõi lưu lượng đám mây là các điểm cần thiết trong giám sát an toàn thông tin hiện nay.
