Ảnh minh họa. The Hacker News

Trojan ngân hàng phát tán qua WhatsApp bằng chuỗi tấn công nhiều lớp

Theo báo cáo mới nhất của công ty an ninh mạng Trend Micro, nhóm Water Saci đã chuyển sang biến thể mã độc viết bằng Python, thay thế cho PowerShell, giúp tăng tốc độ lây lan và mở rộng khả năng hoạt động trên nhiều trình duyệt.

Trong mô hình tấn công mới, người dùng nhận được tin nhắn từ chính bạn bè hoặc người thân trên WhatsApp, kèm file PDF hoặc HTA chứa mã độc. File PDF giả mạo thông báo cập nhật Adobe Reader và yêu cầu người dùng bấm vào liên kết bên trong, trong khi file HTA chứa đoạn mã Visual Basic Script hoạt động ngay khi mở, dùng PowerShell để tải bộ cài trojan và một script Python từ máy chủ điều khiển.

Script Python này cho phép mã độc điều khiển phiên WhatsApp Web của nạn nhân thông qua Selenium (công cụ tự động hóa trình duyệt), từ đó gửi tiếp file độc hại đến tất cả liên hệ trong danh bạ WhatsApp.

Trend Micro nhận định chuỗi tấn công đa định dạng này cho thấy Water Saci đang kết hợp nhiều lớp lẩn tránh, có khả năng sử dụng công cụ trí tuệ nhân tạo (AI) để chuyển đổi mã độc từ PowerShell sang Python, dựa trên sự tương đồng trong cấu trúc và cách hoạt động của hai phiên bản.

Mã độc có tính năng giám sát hệ thống, đánh cắp thông tin ngân hàng và giả giao diện người dùng

Bộ cài mã độc được đóng dưới dạng tệp MSI, sử dụng AutoIt - công cụ tự động hóa tác vụ trên Windows làm trình tải. Mã AutoIt kiểm tra ngôn ngữ hệ điều hành và chỉ hoạt động nếu thiết bị của nạn nhân dùng tiếng Bồ Đào Nha (Brazil).

Sau đó, mã độc quét thiết bị để tìm các ứng dụng ngân hàng phổ biến như Bradesco, Itaú, Sicoob, hoặc các phần mềm bảo mật như Warsaw và Topaz OFD. Mã độc cũng truy xuất lịch sử trình duyệt Google Chrome để tìm dấu hiệu truy cập vào những trang ngân hàng lớn gồm Santander, Banco do Brasil, Caixa và Sicredi.

Khi phát hiện người dùng mở website hoặc ứng dụng liên quan đến ngân hàng, mã độc giải mã các tệp tải về trước đó và tiêm mã độc vào tiến trình “svchost.exe”, một dịch vụ hợp pháp của Windows, bằng kỹ thuật process hollowing (nhồi mã độc vào tiến trình hợp pháp để lẩn tránh phần mềm diệt virus).

Nếu tiến trình bị đóng, mã độc sẽ tự khởi động lại và phục kích cho đến khi nạn nhân truy cập lại dịch vụ tài chính.

Khi hoạt động, trojan có thể ghi lại thao tác bàn phím, chụp màn hình, điều khiển chuột, đọc và ghi tệp, tải lên hoặc tải xuống dữ liệu. Một tính năng nguy hiểm khác là khả năng tạo giao diện giả mạo (overlay) trông giống hệt trang ngân hàng thật để đánh cắp tên đăng nhập, mật khẩu, mã OTP và dữ liệu giao dịch. Trong nhiều trường hợp, mã độc còn chủ động đóng trình duyệt của nạn nhân để buộc người dùng đăng nhập lại trong môi trường bị tin tặc kiểm soát.

Trojan được Water Saci triển khai lần này không còn là Maverick mà mang nhiều đặc điểm giống họ mã độc Casbaneiro, dòng trojan nhắm vào người dùng Mỹ Latin. Trojan mới có khả năng chống phân tích, kiểm tra môi trường ảo (anti-VM), thu thập thông tin qua cơ chế WMI (Windows Management Instrumentation – giao diện thu thập dữ liệu hệ thống), duy trì sự tồn tại bằng sửa đổi Registry và liên lạc với máy chủ điều khiển qua IMAP (giao thức email được tội phạm lợi dụng làm kênh điều khiển bí mật).

Mã độc RelayNFC nhắm vào người dùng Android, thực hiện gian lận thanh toán phi tiếp xúc

Song song với các chiến dịch trên máy tính Windows, người dùng Brazil còn đối mặt với một dòng mã độc Android mới mang tên RelayNFC. Mã độc này được thiết kế để thực hiện tấn công NFC relay, phương thức cho phép kẻ tấn công thực hiện giao dịch thanh toán không tiếp xúc (contactless) ở khoảng cách xa như thể thẻ thật đang ở ngay thiết bị thanh toán.

 Chiến dịch được ghi nhận từ đầu tháng 11/2025 và chủ yếu phát tán qua các trang lừa đảo tiếng Bồ Đào Nha, dụ người dùng cài ứng dụng “bảo vệ thẻ”.

RelayNFC được phát triển bằng React Native – framework đa nền tảng cho phép viết một lần chạy trên cả Android và iOS bằng JavaScript – và Hermes bytecode, dạng mã trung gian được biên dịch trước cho engine Hermes giúp tăng tốc ứng dụng. Chính sự kết hợp này khiến việc phân tích mã nguồn và phát hiện hành vi bất thường trở nên phức tạp hơn đối với các giải pháp bảo mật.

Sau khi cài đặt, ứng dụng yêu cầu người dùng chạm thẻ vào điện thoại để “kiểm tra bảo mật”, thực chất là đọc dữ liệu thẻ thanh toán. Ứng dụng sau đó hiển thị yêu cầu nhập mã PIN 4–6 số, rồi gửi toàn bộ dữ liệu sang máy chủ điều khiển của tin tặc qua kết nối WebSocket (kênh truyền hai chiều theo thời gian thực).

Khi kẻ tấn công bắt đầu giao dịch từ thiết bị POS giả lập, máy chủ gửi lệnh APDU (gói giao tiếp cấp thấp dùng trong NFC) đến điện thoại nạn nhân. RelayNFC tiếp tục chuyển lệnh này tới chip NFC trên thiết bị, khiến thẻ thật phản hồi như thể đang thực hiện giao dịch tại vị trí của kẻ gian. Toàn bộ quá trình diễn ra theo thời gian thực, đủ để hoàn tất một giao dịch thanh toán không tiếp xúc giả mạo mà nạn nhân hoàn toàn không biết.

Các nhà nghiên cứu còn phát hiện thêm một biến thể khác của mã độc đang thử nghiệm tính năng HCE (Host Card Emulation - cơ chế cho phép điện thoại mô phỏng thẻ thanh toán). Dù chưa hoàn thiện, điều này cho thấy tội phạm mạng tại Brazil đang nghiên cứu các kỹ thuật gian lận NFC tinh vi hơn, có thể hoạt động mà không cần thẻ thật ở gần thiết bị nạn nhân.

Nhìn chung, các chiến dịch tấn công liên tiếp nhắm vào cả Windows và Android cho thấy tội phạm mạng tại Brazil ngày càng phát triển các thủ đoạn tấn công tinh vi hơn, khiến người dùng trở thành nạn nhân mà không hề hay biết.

Trend Micro cảnh báo rằng tội phạm mạng tại khu vực Mỹ Latinh đang ngày càng sử dụng các công nghệ tiên tiến hơn với ứng dụng AI, duy trì sự hiện của mã độc lâu dài trong thiết bị của nạn nhân và gây lây nhiễm trên diện rộng.

An Lâm (Theo The Hacker News)