SCMBANKER: Malware ngân hàng mới sử dụng chiêu trò ‘ClickFix’ để tấn công người dùng
Một chiến dịch malware mới mang tên SCMBANKER đang nhắm mục tiêu vào khách hàng của các ngân hàng và nền tảng fintech tại Mexico thông qua kỹ thuật lừa đảo ClickFix và các trang CAPTCHA giả...
Các nhà nghiên cứu từ Elastic Security Labs vừa phát hiện một chiến dịch tấn công tài chính mới, được định danh là REF6045, đang nhắm mục tiêu vào người dùng ngân hàng, fintech và các sàn giao dịch tiền điện tử tại Mexico. Công cụ chính được sử dụng trong chiến dịch này là một bộ toolkit PowerShell có tên gọi SCMBANKER.
Phương thức lừa đảo ClickFix
Chiến dịch bắt đầu bằng việc dẫn dụ nạn nhân truy cập vào các trang web giả mạo, yêu cầu giải mã CAPTCHA để xác thực bảo mật. Sau khi hoàn tất, người dùng bị lừa sao chép và dán một lệnh độc hại vào hộp thoại Run của Windows. Lệnh này kích hoạt một script batch, khởi chạy quá trình cài đặt malware qua nhiều giai đoạn.
Để đánh lạc hướng nạn nhân, kẻ tấn công sử dụng một màn hình cập nhật Windows giả mạo. Trong lúc nạn nhân chờ đợi, script sẽ kiểm tra quyền quản trị (admin) và liên tục hiển thị thông báo UAC (User Account Control) cho đến khi người dùng nhấn “Yes”. Khi đã có quyền truy cập, malware sẽ khóa chuột và âm thầm tải về toàn bộ bộ công cụ độc hại thông qua bitsadmin.
Khả năng của SCMBANKER
Sau khi xâm nhập thành công, SCMBANKER thiết lập cơ chế duy trì (persistence) thông qua Registry và thư mục Startup. Bộ công cụ này sở hữu nhiều tính năng nguy hiểm:
- Giám sát phiên làm việc: Theo dõi tiêu đề cửa sổ trình duyệt để phát hiện các trang web ngân hàng, từ đó chụp ảnh màn hình và ghi lại thao tác bàn phím.
- Thao túng clipboard: Thay thế số tài khoản hoặc số thẻ được sao chép để chuyển hướng giao dịch.
- Vishing (Voice Phishing): Hiển thị các thông báo bảo mật giả mạo, ép buộc nạn nhân gọi điện cho kẻ tấn công.
- Chuyển hướng trình duyệt: Điều hướng người dùng đến các trang phishing.
- Triển khai RAT: Cài đặt các công cụ truy cập từ xa (Remote Utilities) để kiểm soát máy tính nạn nhân hoàn toàn.
Dấu ấn của AI trong mã nguồn
Điểm đáng chú ý là các đoạn mã của SCMBANKER cho thấy dấu hiệu rõ rệt của việc sử dụng các mô hình ngôn ngữ lớn (LLM) để hỗ trợ lập trình. Các nhà nghiên cứu quan sát thấy sự kết hợp kỳ lạ giữa các tên hàm rõ ràng, chú thích chi tiết (đặc trưng của AI) và các biến số được viết tắt thủ công, cho thấy kẻ tấn công đã sử dụng các công cụ như Copilot hoặc Cursor để tạo mã, sau đó chỉnh sửa lại.
Dù kỹ thuật lập trình có phần thô sơ và kẻ tấn công từng mắc sai lầm nghiêm trọng trong bảo mật hạ tầng (để lộ toàn bộ thư mục gốc của server), SCMBANKER vẫn đang gây ra thiệt hại thực tế. Kẻ tấn công vận hành một bảng điều khiển trực tiếp, cho phép chúng theo dõi nạn nhân và kích hoạt các module tấn công tùy chọn dựa trên giá trị của mục tiêu.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.