Nguyễn Tiến Đạt
Intern Writer
Một chiến dịch phần mềm độc hại tinh vi mang tên JanelaRAT đang gia tăng hoạt động tại khu vực Mỹ Latinh, nhắm trực tiếp vào các ngân hàng và tổ chức tài chính, với quy mô tấn công lên tới hàng chục nghìn vụ chỉ trong năm 2025.
Theo báo cáo mới nhất từ Kaspersky, đã có 14.739 cuộc tấn công được ghi nhận tại Brazil và 11.695 tại Mexico trong năm qua. Tuy chưa rõ số vụ xâm nhập thành công, nhưng con số này phản ánh mức độ lan rộng đáng lo ngại của chiến dịch.
Các chức năng của JanelaRAT bao gồm ghi lại thao tác bàn phím, theo dõi chuột, chụp ảnh màn hình và thu thập siêu dữ liệu hệ thống. Đáng chú ý, phần mềm này có thể xác định khi người dùng truy cập vào các trang web ngân hàng thông qua cơ chế phân tích tiêu đề cửa sổ, từ đó kích hoạt các hành vi tấn công phù hợp.
Ban đầu, mã độc được phát tán thông qua các tệp ZIP chứa tập lệnh Visual Basic. Tuy nhiên, các chiến dịch gần đây đã chuyển sang sử dụng trình cài đặt MSI giả mạo phần mềm hợp pháp, thậm chí được lưu trữ trên các nền tảng đáng tin cậy như GitLab.
Phân tích từ KPMG cho thấy chuỗi tấn công hiện nay sử dụng nhiều lớp script khác nhau (Go, PowerShell, batch) kết hợp với kỹ thuật DLL sideloading nhằm tránh bị phát hiện. Đồng thời, mã độc còn cài đặt tiện ích mở rộng độc hại trên các trình duyệt Chromium để thu thập dữ liệu người dùng.
Sau khi xâm nhập thành công, JanelaRAT sẽ thiết lập kết nối với máy chủ điều khiển (C2) thông qua giao thức TCP, cho phép kẻ tấn công giám sát và điều khiển hệ thống từ xa.
Đặc biệt, mã độc có thể theo dõi thời gian người dùng không hoạt động và điều chỉnh hành vi nhằm tránh bị phát hiện. Nó cũng có khả năng phát hiện môi trường sandbox hoặc các công cụ chống gian lận để tự thay đổi chiến thuật.
Sự gia tăng của các chiến dịch này cho thấy tội phạm mạng đang ngày càng tập trung vào lĩnh vực tài chính, đặc biệt tại các thị trường đang phát triển như Mỹ Latinh.
Trong bối cảnh tấn công mạng ngày càng phức tạp, việc nâng cao nhận thức và chủ động phòng ngừa được xem là yếu tố then chốt để giảm thiểu rủi ro.
Theo báo cáo mới nhất từ Kaspersky, đã có 14.739 cuộc tấn công được ghi nhận tại Brazil và 11.695 tại Mexico trong năm qua. Tuy chưa rõ số vụ xâm nhập thành công, nhưng con số này phản ánh mức độ lan rộng đáng lo ngại của chiến dịch.
Phần mềm độc hại chuyên đánh cắp dữ liệu tài chính
JanelaRAT là một biến thể nâng cấp từ BX RAT, được thiết kế với mục tiêu chính là đánh cắp dữ liệu tài chính và tiền điện tử. Không chỉ dừng lại ở việc thu thập thông tin, mã độc này còn có khả năng theo dõi hoạt động người dùng một cách toàn diện.Các chức năng của JanelaRAT bao gồm ghi lại thao tác bàn phím, theo dõi chuột, chụp ảnh màn hình và thu thập siêu dữ liệu hệ thống. Đáng chú ý, phần mềm này có thể xác định khi người dùng truy cập vào các trang web ngân hàng thông qua cơ chế phân tích tiêu đề cửa sổ, từ đó kích hoạt các hành vi tấn công phù hợp.
Chuỗi lây nhiễm nhiều lớp, liên tục tiến hóa
JanelaRAT lần đầu được phát hiện bởi Zscaler vào năm 2023 và kể từ đó đã không ngừng được nâng cấp.Ban đầu, mã độc được phát tán thông qua các tệp ZIP chứa tập lệnh Visual Basic. Tuy nhiên, các chiến dịch gần đây đã chuyển sang sử dụng trình cài đặt MSI giả mạo phần mềm hợp pháp, thậm chí được lưu trữ trên các nền tảng đáng tin cậy như GitLab.
Phân tích từ KPMG cho thấy chuỗi tấn công hiện nay sử dụng nhiều lớp script khác nhau (Go, PowerShell, batch) kết hợp với kỹ thuật DLL sideloading nhằm tránh bị phát hiện. Đồng thời, mã độc còn cài đặt tiện ích mở rộng độc hại trên các trình duyệt Chromium để thu thập dữ liệu người dùng.
Email lừa đảo là điểm khởi đầu
Các chiến dịch mới nhất sử dụng email giả mạo hóa đơn chưa thanh toán để dụ người dùng nhấp vào liên kết tải tệp PDF. Thực chất, liên kết này dẫn tới việc tải xuống tệp ZIP chứa mã độc, từ đó kích hoạt toàn bộ chuỗi tấn công.Sau khi xâm nhập thành công, JanelaRAT sẽ thiết lập kết nối với máy chủ điều khiển (C2) thông qua giao thức TCP, cho phép kẻ tấn công giám sát và điều khiển hệ thống từ xa.
Khả năng điều khiển và ngụy trang tinh vi
JanelaRAT cho phép tin tặc thực hiện nhiều hành vi nguy hiểm như chụp màn hình, giả mạo giao diện ngân hàng để đánh cắp thông tin đăng nhập, điều khiển chuột và bàn phím, cũng như thực thi lệnh từ xa.Đặc biệt, mã độc có thể theo dõi thời gian người dùng không hoạt động và điều chỉnh hành vi nhằm tránh bị phát hiện. Nó cũng có khả năng phát hiện môi trường sandbox hoặc các công cụ chống gian lận để tự thay đổi chiến thuật.
Mối đe dọa gia tăng đối với lĩnh vực tài chính
Các chuyên gia nhận định JanelaRAT là một bước tiến đáng kể trong các dòng malware tài chính, khi kết hợp giữa giám sát người dùng, tương tác trực tiếp với giao diện và khả năng điều khiển từ xa toàn diện.Sự gia tăng của các chiến dịch này cho thấy tội phạm mạng đang ngày càng tập trung vào lĩnh vực tài chính, đặc biệt tại các thị trường đang phát triển như Mỹ Latinh.
Cảnh báo đối với người dùng và tổ chức
Trước mối đe dọa ngày càng tinh vi, các chuyên gia khuyến nghị người dùng cần thận trọng với các email lạ, đặc biệt là những email liên quan đến hóa đơn hoặc thanh toán. Đồng thời, các tổ chức tài chính cần tăng cường hệ thống bảo mật và giám sát để phát hiện sớm các dấu hiệu xâm nhập.Trong bối cảnh tấn công mạng ngày càng phức tạp, việc nâng cao nhận thức và chủ động phòng ngừa được xem là yếu tố then chốt để giảm thiểu rủi ro.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview