 |
| Ảnh minh họa. Cyber Insider |
Tiến hóa từ trojan ngân hàng thành phần mềm độc hại tấn công đa mục tiêu
Ban đầu, DanaBot được biết đến là trojan chuyên đánh cắp thông tin tài khoản ngân hàng và thực hiện gian lận tài chính. Tuy nhiên, theo phân tích của nhóm an ninh mạng ThreatLabz (Zscaler), phiên bản mới cho thấy mức độ tinh chỉnh cao hơn về hành vi, cấu trúc và cơ chế điều khiển.
Theo các chuyên gia ThreatLabz, DanaBot v669 được thiết kế theo kiến trúc đa mô-đun (modular), cho phép kẻ tấn công triển khai từng thành phần theo yêu cầu - từ thu thập dữ liệu, di chuyển ngang trong mạng nội bộ (lateral movement), đến tải xuống và kích hoạt mã độc khác trên hệ thống Windows.
Ngoài mục tiêu ngân hàng, DanaBot giờ còn nhắm tới ví tiền điện tử (crypto wallet), mở rộng quy mô tấn công sang nhóm người dùng cá nhân và các doanh nghiệp nhỏ có giao dịch tài chính số.
Chiến thuật lây nhiễm mới và hạ tầng ẩn danh
Kẻ tấn công vẫn dùng các email có nội dung và giao diện thuyết phục cùng tài liệu tinh vi để dụ người dùng kích hoạt mã độc. Khi tải chạy giai đoạn đầu, Danabot 669 không dừng lại ở đó mà lập tức tải xuống từ máy chủ C2 của tin tặc nhiều mô-đun bổ sung - bao gồm công cụ ghi phím, thu thập cookie/credential, công cụ di chuyển ngang trong mạng và mô-đun chuyên thu ví tiền mã hóa. Để ẩn mình và kéo dài thời gian tồn tại, mã độc chạy ngầm bên trong các tiến trình Windows hợp lệ (ví dụ: lồng vào tiến trình hệ thống hoặc khởi chạy dưới tên tiến trình chuẩn) và tạo scheduled task/entry registry để tự động kích hoạt sau mỗi lần khởi động máy.
Cùng với giao tiếp được mã hoá và việc chuyển một phần điều khiển sang các địa chỉ tên miền ảo .onion, cơ chế này khiến Danabot 669 khó bị phát hiện, truy vết, chặn và xóa bỏ phức tạp hơn nhiều so với trojan truyền thống.
Việc dọn mã độc cục bộ không đủ nếu không cô lập toàn bộ mạng nội bộ, vì các mô-đun có thể tái cài đặt từ máy chủ điều khiển. Điểm khác biệt đáng chú ý trong phiên bản 669 là sự thay đổi về hạ tầng điều khiển (C2). DanaBot hiện sử dụng kết hợp máy chủ IP truyền thống và các miền ẩn danh .onion trên mạng Tor, giúp tội phạm mạng duy trì hoạt động ổn định và khó bị phát hiện hoặc triệt phá.
Mối đe dọa đối với tổ chức tài chính và người dùng
Việc DanaBot quay lại với kỹ thuật nâng cấp cho thấy xu hướng mã độc ngân hàng chuyển mình thành nền tảng tấn công đa dụng – có thể được thuê hoặc tùy biến để phục vụ nhiều mục tiêu khác nhau.
DanaBot từng được ghi nhận lây nhiễm hàng chục ngàn đến hàng trăm ngàn hệ thống, ảnh hưởng đến ngân hàng, doanh nghiệp và cá nhân ở nhiều quốc gia. Ngoài tổn thất tài chính trực tiếp, mã độc có thể thu thập dữ liệu khách hàng, gây tổn hại uy tín tổ chức, tống tiền hoặc hoạt động gián điệp.
Với cá nhân, tài khoản ngân hàng và ví tiền mã hóa có thể bị rút tiền, đồng thời mã độc có thể lây nhiễm từ thiết bị cá nhân người dùng sang toàn bộ hệ thống trong tổ chức, doanh nghiệp.
Điều này khiến rủi ro không chỉ giới hạn ở lĩnh vực tài chính mà còn lan sang các dịch vụ trực tuyến và dữ liệu cá nhân.
Nguyên tắc bảo mật trong kỷ nguyên tài chính số
Doanh nghiệp tài chính và ngân hàng cần tăng cường giám sát lưu lượng truy cập, cập nhật chỉ số nhận diện tấn công (IOC) và triển khai hệ thống phát hiện hành vi (EDR).
Người dùng cá nhân nên cẩn trọng với email đính kèm, tránh kích hoạt macro trong file lạ, đồng thời bật xác thực đa yếu tố (MFA) cho tài khoản trực tuyến.
Tình huống mã độc DanaBot tái xuất sau khi từng bị triệt phá cho thấy sự bền bỉ, khả năng phục hồi và tiến hóa của tội phạm mạng. Khi hạ tầng cũ bị đánh sập, mã nguồn hoặc mô-đun của DanaBot vẫn có thể được các nhóm tội phạm mạng khác tái sử dụng, nâng cấp và phát tán theo cơ chế dịch vụ cho thuê mã độc MaaS.
Các chuyên gia cảnh báo, đây là dấu hiệu ban đầu cho làn sóng tấn công tài chính mới trong năm tới, khi giới tội phạm tận dụng xu hướng phát triển của ngân hàng số và thanh toán tiền điện tử toàn cầu.
An Lâm (Theo Gbhackers)
Bình luận