Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại BankGhost Builder

BankGhost Builder

Đến năm Mezo năm Phần mềm độc hại, Trojan ngân hàng
Dịch sang:

Các nhà nghiên cứu an ninh mạng đã phát hiện một quảng cáo trên Telegram quảng bá "BankGhost Builder", một nền tảng tạo phần mềm độc hại tinh vi được thiết kế để tạo ra các phần mềm độc hại ngân hàng tích hợp hệ thống điều khiển và kiểm soát (C2), cơ chế phát tán lừa đảo và các khả năng tập trung vào gian lận. Nền tảng này được cho là đang được phân phối thông qua các cộng đồng ngầm trên Telegram, làm gia tăng lo ngại về sự mở rộng nhanh chóng của các hoạt động phần mềm độc hại dưới dạng dịch vụ (MaaS).

Khung phần mềm độc hại này đang được tiếp thị bởi một nhóm tội phạm mạng liên kết với Telegram có tên là Infrastructure Destruction Squad (IDS), cũng được theo dõi với tên gọi Dark Engine. Việc quảng bá nó trong hệ sinh thái tội phạm mạng cho thấy nỗ lực tích cực nhằm thương mại hóa việc phát triển phần mềm độc hại tiên tiến và giúp các đối tượng ít kỹ năng kỹ thuật hơn dễ dàng thực hiện tội phạm mạng tài chính.

Biệt đội phá hủy cơ sở hạ tầng mở rộng tầm ảnh hưởng ngầm.

Nhóm tấn công phá hoại cơ sở hạ tầng (Infrastructure Destruction Squad - IDS) nổi lên mạnh mẽ vào cuối năm 2025 và tiếp tục nằm trong số những mối đe dọa mạng đáng lo ngại nhất trong suốt năm 2026. Không giống như nhiều nhóm tin tặc thân Nga chủ yếu dựa vào các cuộc tấn công từ chối dịch vụ phân tán (DDoS) gây gián đoạn, IDS thu hút sự chú ý vì các vụ xâm nhập bị cáo buộc liên quan đến Hệ thống điều khiển công nghiệp (ICS) và môi trường SCADA.

Nhóm này cũng có liên hệ với các hoạt động ngầm liên quan đến việc quảng bá các công cụ tấn công mạng và phát tán dữ liệu bị đánh cắp cũng như các thông tin rò rỉ từ các vụ xâm nhập. Với hơn 1.600 người đăng ký trên Telegram, nhóm này đang góp phần đẩy nhanh sự lan rộng của các mối đe dọa mạng tinh vi bằng cách đơn giản hóa việc tiếp cận các khả năng tấn công tiên tiến.

BankGhost Builder kết hợp triển khai phần mềm độc hại và các hoạt động chống gian lận.

BankGhost Builder được quảng cáo là một khung phần mềm độc hại ngân hàng toàn diện, có khả năng hỗ trợ toàn bộ vòng đời tấn công mạng. Theo tài liệu quảng cáo, nền tảng này hỗ trợ hơn 700 tổ chức ngân hàng trải rộng khắp Ấn Độ, Bắc Mỹ, Châu Âu và khu vực Châu Á - Thái Bình Dương.

Công cụ này tích hợp việc tạo mã độc, cơ sở hạ tầng tấn công lừa đảo, triển khai máy chủ điều khiển (C2) và thực thi hành vi gian lận vào một hệ sinh thái duy nhất. Theo báo cáo, bộ tính năng của nó bao gồm mã hóa đa hình, giả mạo quy trình và các kỹ thuật tiêm mã độc được thiết kế để né tránh sự phát hiện của các công cụ bảo mật truyền thống. Ngoài ra, phần mềm độc hại này hỗ trợ nhiều kênh liên lạc, bao gồm các giao thức HTTPS, DNS-over-HTTPS, Tor và WebSocket.

Nền tảng này cũng chứa các chức năng hỗ trợ gian lận trực tiếp như thu thập thông tin đăng nhập, chiếm đoạt phiên, chèn mã độc vào web và các kỹ thuật nhằm vượt qua các biện pháp bảo vệ xác thực hai yếu tố. Những khả năng này rất giống với các khả năng liên quan đến các họ phần mềm độc hại ngân hàng nổi tiếng như Zeus, Dridex và TrickBot, nhưng hiện được đóng gói thành một định dạng trình xây dựng dễ triển khai hơn.

Giảm rào cản gia nhập làm tăng rủi ro trong lĩnh vực tài chính.

Sự xuất hiện của BankGhost Builder phản ánh quá trình công nghiệp hóa liên tục của tội phạm mạng, nơi các khả năng tấn công tiên tiến được đóng gói, tiếp thị và phân phối trên quy mô lớn. Kiến trúc mô-đun và khả năng tạo tải trọng tùy chỉnh của nó làm giảm sự phụ thuộc vào các chỉ báo tĩnh về sự xâm phạm, làm phức tạp thêm các nỗ lực xác định nguồn gốc và phát hiện đối với các nhà bảo mật.

Các nhà phân tích an ninh cảnh báo rằng việc phổ biến rộng rãi các công cụ như vậy có khả năng đẩy nhanh một số xu hướng đe dọa lớn, bao gồm:

Các chiến dịch tấn công bằng phần mềm độc hại nhắm vào khách hàng và nhân viên ngân hàng đang gia tăng.
Số vụ chiếm đoạt tài khoản (ATO) ngày càng tăng và các hoạt động gian lận cục bộ ngày càng tinh vi.

Những diễn biến này có thể mở rộng đáng kể phạm vi hoạt động của các nhóm tội phạm mạng trước đây thiếu chuyên môn để tự mình thực hiện các cuộc tấn công ngân hàng tiên tiến.

Các tổ chức tài chính được khuyến khích tăng cường các chiến lược phòng thủ.

Để giảm thiểu mối đe dọa ngày càng gia tăng từ các phần mềm độc hại ngân hàng tiên tiến, các tổ chức tài chính được khuyến khích áp dụng các chiến lược bảo mật dựa trên thông tin tình báo và hành vi. Các biện pháp phòng thủ được đề xuất bao gồm:

  • Giám sát việc thực thi quy trình bất thường, thao tác sao chép/dán và hành vi chụp màn hình thông qua phân tích hành vi.
  • Phát hiện các mẫu lưu lượng truy cập được mã hóa đáng ngờ, bao gồm cả giao tiếp DNS qua HTTPS và Tor.
  • Áp dụng các biện pháp kiểm soát an ninh email nghiêm ngặt như cách ly tệp đính kèm và hạn chế đối với các loại tệp có rủi ro cao, bao gồm các tệp MSI, DLL và EXE.
  • Tăng cường các chương trình phòng chống gian lận thông qua nhận dạng thiết bị, phát hiện bất thường trong giao dịch và giám sát hành vi nâng cao.

Một chiến lược phòng thủ chủ động và nhiều lớp vẫn là điều thiết yếu khi các cộng đồng tội phạm mạng ngầm tiếp tục đẩy nhanh việc áp dụng và phân phối các nền tảng phần mềm độc hại tinh vi như BankGhost Builder.

xu hướng

Cảnh báo về khả năng gửi email thành công - Email...

Lừa đảo, Thư rác
Luôn cần thận trọng khi nhận được email bất ngờ, đặc biệt là khi chúng tạo cảm giác khẩn cấp hoặc yêu cầu thông tin nhạy cảm. Tội phạm mạng thường ngụy trang các tin nhắn lừa đảo thành các thông báo hợp lệ từ các nhà cung cấp dịch vụ đáng tin cậy nhằm đánh lừa người nhận tiết lộ dữ liệu cá nhân. Các email có tên gọi "Cảnh báo khả năng gửi email" là một ví dụ điển hình cho thủ đoạn này. Những...

Xem nhiều nhất

Đang tải...