Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch malware phức tạp nhắm mục tiêu vào người dùng Brazil thông qua WhatsApp, phát tán một loại Trojan ngân hàng mới nguy hiểm có tên “Maverick”. Mối đe dọa này đã chặn hơn 62.000 nỗ lực lây nhiễm chỉ trong 10 ngày đầu tháng 10 tại Brazil, cho thấy quy mô và tác động tiềm tàng của nó.

Maverick: Mã độc Ngân hàng Mới Lây Lan Qua WhatsApp

Mã độc Maverick đại diện cho một bước tiến trong các cuộc tấn công tài chính, được thiết kế đặc biệt để khai thác người dùng ngân hàng và tiền điện tử. Sự phát tán rộng rãi của nó qua nền tảng WhatsApp chứng tỏ khả năng thích ứng và mức độ tinh vi của nhóm tấn công.

Kỹ thuật Lây Nhiễm và Tự Động Lan Truyền của Mã độc Maverick

Cuộc tấn công bắt đầu khi nạn nhân nhận được một tệp ZIP độc hại qua tin nhắn WhatsApp. Tệp ZIP này chứa một tệp LNK (phím tắt) được ngụy trang thành tài liệu ngân hàng hợp pháp, thường có tên tệp bằng tiếng Bồ Đào Nha để tạo sự tin cậy.

Các tin nhắn đi kèm thường hướng dẫn người nhận mở tệp trên máy tính và bỏ qua cảnh báo bảo mật của Chrome bằng cách chọn “giữ tệp”.

Điểm đặc biệt nguy hiểm của chiến dịch mã độc Maverick là khả năng tự lây lan. Sau khi được cài đặt, mã độc Maverick sử dụng WPPConnect, một công cụ tự động hóa WhatsApp mã nguồn mở, để chiếm quyền tài khoản của nạn nhân. Từ đó, nó tự động gửi các tệp độc hại cho danh bạ của họ thông qua WhatsApp Web.

Hành vi giống sâu (worm-like behavior) này giúp mã độc Maverick lây lan theo cấp số nhân trên nền tảng, biến mỗi người dùng bị nhiễm thành một kênh phát tán mã độc mà không hề hay biết.

Cơ Chế Khai Thác và Tấn Công Nâng Cao

Quá trình lây nhiễm của mã độc Maverick cực kỳ tinh vi và hoạt động gần như hoàn toàn trong bộ nhớ. Điều này khiến nó để lại rất ít dấu vết trên đĩa cứng, gây khó khăn cho việc phát hiện và phân tích.

Sau khi tệp LNK ban đầu được thực thi, nó kích hoạt một chuỗi các script PowerShell. Các script này sau đó tải xuống các payload đã được mã hóa từ các máy chủ chỉ huy và kiểm soát (C2).

Mã độc sử dụng nhiều lớp xác minh, bao gồm xác thực User-Agent. Mục đích là để đảm bảo rằng các lượt tải xuống chỉ đến từ chính mã độc, ngăn chặn các nhà nghiên cứu bảo mật dễ dàng thu thập mẫu.

Toàn bộ hoạt động sử dụng các thành phần mô-đun được tải thông qua PowerShell, các assembly .NET và shellcode được mã hóa bằng Donut.

Mỗi giai đoạn tải xuống và giải mã giai đoạn tiếp theo, tạo ra một chuỗi phức tạp. Chuỗi này cuối cùng dẫn đến việc triển khai Trojan ngân hàng Maverick.

Mã độc Maverick đặc biệt nhắm mục tiêu vào người dùng Brazil bằng cách kiểm tra múi giờ, cài đặt ngôn ngữ, cấu hình khu vực và định dạng ngày của nạn nhân trước khi tiến hành cài đặt.

Phát hiện AI trong Phát triển Mã độc

Đáng chú ý, các nhà nghiên cứu đã tìm thấy bằng chứng cho thấy trí tuệ nhân tạo (AI) đã được sử dụng trong quá trình phát triển mã độc Maverick. Cụ thể, AI được ứng dụng trong các quy trình giải mã chứng chỉ và cấu trúc mã tổng thể, cho thấy sự tiến hóa đáng lo ngại trong phát triển phần mềm độc hại. Theo báo cáo của Kaspersky.

Để giao tiếp với API của nó, mã độc Maverick gửi khóa API trong trường X-Request-Headers của tiêu đề yêu cầu HTTP.

Mục tiêu và Chức năng của Mã độc Maverick

Khi đã hoạt động, mã độc Maverick theo dõi các trình duyệt của nạn nhân để tìm kiếm quyền truy cập vào các trang web ngân hàng, sàn giao dịch tiền điện tử và nền tảng thanh toán.

Trojan này hỗ trợ các trình duyệt lớn như Chrome, Firefox, Microsoft Edge, Brave và Internet Explorer.

Các khả năng của mã độc Maverick rất toàn diện và đáng báo động. Nó có thể nắm bắt thông tin nhạy cảm và kiểm soát hệ thống của nạn nhân.

Các tính năng độc hại chính của Maverick:

• Chụp màn hình
• Ghi lại thao tác gõ phím (keylogging)
• Điều khiển chuột
• Giám sát hoạt động duyệt web
• Chấm dứt các tiến trình
• Hiển thị các trang lừa đảo (overlay phishing) khi nạn nhân truy cập các trang web ngân hàng

Những tính năng này cho phép kẻ tấn công thu thập thông tin đăng nhập ngân hàng và thực hiện các giao dịch trái phép. Đồng thời, chúng duy trì quyền kiểm soát từ xa hoàn toàn đối với các máy tính bị nhiễm.

Danh sách loại mục tiêu của mã độc Maverick:

• 26 trang web ngân hàng Brazil
• 6 sàn giao dịch tiền điện tử
• 1 nền tảng thanh toán

Mối Quan Hệ Với Mã độc Coyote và Sự Tiến Hóa của Tấn Công

Các nhà nghiên cứu bảo mật đã xác định sự chồng lấn đáng kể về mã giữa Maverick và một Trojan ngân hàng Brazil khác. Trojan này có tên là Coyote, được ghi nhận vào đầu năm 2024 (nguồn gbhackers).

Cả hai mối đe dọa đều chia sẻ các cơ chế mã hóa tương tự bằng AES-256 và sử dụng các giao thức liên lạc có thể so sánh được. Tuy nhiên, sự khác biệt về kiến trúc của mã độc Maverick cho thấy nó có thể là một sự tái cấu trúc hoàn chỉnh của Coyote. Hoặc, nó là một mối đe dọa mới được phát triển bằng cách sử dụng các thư viện mã dùng chung. Điều này đánh dấu một sự phát triển đáng lo ngại trong phát triển phần mềm độc hại.

Biện pháp Phòng ngừa và Giảm thiểu Rủi ro bảo mật

Để chống lại các mối đe dọa như mã độc Maverick và giảm thiểu rủi ro bảo mật, người dùng và tổ chức cần thực hiện các biện pháp phòng ngừa chặt chẽ.

• Cảnh giác với các tệp tin không mong muốn: Người dùng cần đặc biệt cảnh giác với các tệp tin nhận được qua WhatsApp, ngay cả từ những người liên hệ đã biết. Tài khoản của họ có thể đã bị chiếm đoạt.
• Triển khai giải pháp bảo mật email và nhắn tin: Các tổ chức nên triển khai các giải pháp bảo mật email và nhắn tin có khả năng phát hiện các tệp LNK độc hại.
• Cập nhật phần mềm diệt virus: Duy trì phần mềm diệt virus được cập nhật thường xuyên là rất quan trọng để phát hiện và loại bỏ các biến thể mã độc mới.
• Nâng cao nhận thức người dùng: Giáo dục người dùng về các rủi ro khi tải xuống và thực thi các tệp từ các nền tảng nhắn tin.
• Xác minh các tin nhắn liên quan đến ngân hàng qua kênh chính thức: Khách hàng ngân hàng Brazil nên đặc biệt thận trọng và xác minh bất kỳ tin nhắn đáng ngờ nào liên quan đến ngân hàng thông qua các kênh chính thức trước khi thực hiện bất kỳ hành động nào.