Sự cố rò rỉ dữ liệu nghiêm trọng đã phơi bày toàn bộ mã nguồn của mã độc ERMAC V3.0, một trojan ngân hàng tinh vi nhắm mục tiêu vào hơn 700 ứng dụng tài chính trên toàn cầu. Sự việc này cung cấp cái nhìn sâu sắc chưa từng có về một trong những trojan ngân hàng di động tiên tiến nhất đang hoạt động.

Khám Phá Rò Rỉ Mã Nguồn Mã Độc ERMAC V3.0

Vụ rò rỉ được công ty an ninh mạng Hunt.io phát hiện vào tháng 3 năm 2024. Nguyên nhân chính được xác định là do một mật khẩu mặc định cực kỳ yếu: “changemeplease”. Các nhà nghiên cứu của Hunt.io đã phát hiện một thư mục mở chứa toàn bộ kho lưu trữ mã nguồn của ERMAC V3.0.

Việc lộ diện mã nguồn của một nền tảng Malware-as-a-Service (MaaS) đang hoạt động là một sự kiện hiếm hoi. Nó mang lại cơ hội quý giá để hiểu rõ hơn về cấu trúc, hoạt động và các điểm yếu của loại mã độc ngân hàng này, hỗ trợ phát triển các biện pháp phòng thủ hiệu quả.

Bối Cảnh và Lịch Sử Phát Triển ERMAC

ERMAC đã trải qua quá trình phát triển đáng kể kể từ khi ra đời. Các phiên bản đầu tiên của trojan này được xây dựng dựa trên mã nguồn bị rò rỉ của Cerberus. Đến cuối năm 2023, phiên bản 2.0 đã tích hợp một phần đáng kể mã cơ sở của botnet Hook.

Phiên bản 3.0 mới được phát hiện đánh dấu một bước tiến lớn, mở rộng khả năng của mã độc để nhắm mục tiêu vào hơn 700 ứng dụng ngân hàng, mua sắm trực tuyến và tiền điện tử. Việc này được thực hiện thông qua các kỹ thuật tiêm biểu mẫu (form injection) tinh vi, cho phép mã độc thu thập thông tin đăng nhập và dữ liệu nhạy cảm khác từ nạn nhân.

Phân Tích Cấu Trúc và Thành Phần Mã Độc ERMAC V3.0

Mã nguồn bị rò rỉ đã tiết lộ một hệ sinh thái mã độc toàn diện, bao gồm năm thành phần chính. Mỗi thành phần đóng vai trò quan trọng trong việc triển khai, quản lý và vận hành mã độc ERMAC V3.0.

• Backend (PHP và Laravel): Đây là hệ thống quản lý chính, chịu trách nhiệm lưu trữ dữ liệu nạn nhân, quản lý các chiến dịch tấn công và điều khiển trojan. Việc sử dụng Laravel, một framework PHP phổ biến, cho thấy nỗ lực của tác nhân đe dọa trong việc xây dựng một hệ thống quản lý tương đối bài bản.
• Frontend Panel (React): Giao diện người dùng cho phép các tác nhân đe dọa tương tác với hệ thống backend, theo dõi nạn nhân và cấu hình các cuộc tấn công một cách dễ dàng. Giao diện này được xây dựng bằng React, một thư viện JavaScript hiện đại, cung cấp trải nghiệm người dùng mượt mà.
• Exfiltration Server (Golang): Máy chủ này được thiết kế để xử lý việc trích xuất và lưu trữ dữ liệu nhạy cảm từ các thiết bị bị nhiễm mã độc. Việc sử dụng Golang cho thấy mục đích về hiệu suất và khả năng mở rộng trong việc thu thập dữ liệu.
• Docker Configuration Files: Các tệp cấu hình Docker cho phép triển khai và quản lý dễ dàng các thành phần của ERMAC, đảm bảo môi trường hoạt động ổn định và nhất quán. Điều này cũng cho phép kẻ tấn công nhanh chóng mở rộng cơ sở hạ tầng.
• Android Builder Panel: Một công cụ quan trọng cho phép tạo ra các biến thể mã độc tùy chỉnh. Công cụ này cho phép các tác nhân đe dọa điều chỉnh ERMAC để phù hợp với các mục tiêu cụ thể, tối ưu hóa khả năng lẩn tránh và hiệu quả tấn công.

Các Lỗ Hổng Bảo Mật Nội Bộ của ERMAC

Phân tích mã nguồn đã phát hiện nhiều lỗ hổng bảo mật nghiêm trọng trong chính cơ sở hạ tầng của ERMAC, những lỗ hổng này có thể bị khai thác để phá vỡ hoạt động của nó. Các điểm yếu này bao gồm:

• Hardcoded JWT Secret Token: Một token JWT bí mật được mã hóa cứng trong mã nguồn, khiến nó dễ bị đoán hoặc giải mã, cho phép truy cập trái phép vào các dịch vụ.
• Static Admin Bearer Token: Tương tự, một token xác thực quản trị viên tĩnh làm tăng nguy cơ bị truy cập không được phép vào bảng điều khiển quản trị.
• Default Root Credentials: Mật khẩu gốc mặc định là “changemeplease” là một lỗ hổng nghiêm trọng nhất. Đây là điểm yếu chính đã dẫn đến việc mã nguồn bị lộ.
• Open Account Registration qua API: Hệ thống cho phép đăng ký tài khoản trực tiếp thông qua API của nó, có khả năng cấp quyền truy cập trái phép vào bảng điều khiển quản trị nếu không được kiểm soát chặt chẽ.

Dấu Hiệu Nhận Diện và Cơ Sở Hạ Tầng Mã Độc Ngân Hàng

Sử dụng các khả năng tìm kiếm nâng cao, các nhà nghiên cứu của Hunt.io đã xác định được nhiều thành phần cơ sở hạ tầng ERMAC đang hoạt động trực tuyến. Việc này chứng tỏ mã độc ERMAC V3.0 vẫn đang được sử dụng rộng rãi và tích cực.

Cơ Sở Hạ Tầng Tác Động (IOCs)

Cuộc điều tra đã tiết lộ các Dấu hiệu Thỏa hiệp (IOCs) quan trọng liên quan đến hoạt động của ERMAC:

• Máy chủ Command-and-Control (C2): Bốn máy chủ C2 duy nhất đã được xác định. Đây là nơi mã độc gửi dữ liệu và nhận lệnh từ kẻ tấn công.
• Máy chủ Exfiltration: Bốn máy chủ trích xuất dữ liệu cũng được phát hiện. Các máy chủ này được sử dụng để nhận dữ liệu bị đánh cắp từ các thiết bị bị nhiễm.
• Header xác thực đặc trưng: Các máy chủ này sử dụng header xác thực độc đáo “LOGIN | ERMAC”, một dấu hiệu nhận diện đặc trưng cho các hoạt động của mã độc ERMAC V3.0.

Kỹ Thuật Bảo Mật Tác Nghiệp của ERMAC

Bất chấp các lỗ hổng nội bộ, mã độc ERMAC V3.0 vẫn thể hiện các biện pháp bảo mật tác nghiệp tinh vi để tránh bị phát hiện và phân tích:

• Giao tiếp mã hóa AES-CBC: Mã độc sử dụng mã hóa AES-CBC để bảo vệ các kênh liên lạc giữa thiết bị bị nhiễm và máy chủ C2, khiến việc theo dõi và giải mã lưu lượng trở nên khó khăn hơn.
• Hạn chế địa lý: ERMAC được cấu hình để không thực thi trong các quốc gia thuộc Cộng đồng các Quốc gia Độc lập (CIS). Đây là một chiến thuật phổ biến được các tác nhân đe dọa sử dụng để tránh bị truy tố bởi các cơ quan pháp luật ở các quốc gia này.

Yêu Cầu Quyền Hạn và Cơ Chế Kiểm Tra Môi Trường

Trước khi cài đặt, mã độc ERMAC V3.0 thực hiện các bước kiểm tra cẩn thận để đảm bảo môi trường hoạt động phù hợp:

• Kiểm tra môi trường giả lập: ERMAC xác minh rằng nó không chạy trong môi trường giả lập (emulator environment). Điều này giúp mã độc tránh bị các nhà nghiên cứu bảo mật phát hiện và phân tích trong môi trường phòng thí nghiệm.
• Yêu cầu quyền mở rộng: Sau khi vượt qua kiểm tra môi trường, mã độc yêu cầu các quyền truy cập thiết bị mở rộng. Bao gồm quyền truy cập SMS, hoạt động nền và khả năng chấm dứt các tiến trình khác. Những quyền này cho phép ERMAC thực hiện các hành vi độc hại như đọc mã OTP, chiếm quyền kiểm soát thiết bị và duy trì sự hiện diện trên hệ thống bị nhiễm.

Tác Động và Triển Vọng Đối Phó với Mã Độc ERMAC V3.0

Việc rò rỉ dữ liệu mã nguồn của ERMAC V3.0 cung cấp thông tin tình báo vô giá cho các chuyên gia an ninh mạng. Những chi tiết về cơ sở hạ tầng bị lộ và các lỗ hổng hoạt động của mã độc mang đến cơ hội cụ thể để phá vỡ các hoạt động độc hại đang diễn ra và bảo vệ các nạn nhân tiềm năng.

Sự cố này cũng nhấn mạnh sự phát triển liên tục của các trojan ngân hàng di động và cho thấy rằng ngay cả những kẻ tấn công mạng tinh vi cũng có thể mắc phải các sai lầm cơ bản trong bảo mật. Các thực hành bảo mật yếu kém, như việc sử dụng mật khẩu mặc định, có thể phơi bày toàn bộ hoạt động độc hại cho các nhà nghiên cứu bảo mật và cơ quan thực thi pháp luật. Điều này tạo điều kiện thuận lợi cho việc phát triển các biện pháp đối phó và tăng cường an toàn thông tin cho người dùng.