Liệu bạn có nghĩ rằng một tin nhắn WhatsApp hoặc email Outlook bình thường có thể biến thành "cửa ngõ" để tội phạm mạng xâm nhập vào tài khoản ngân hàng của mình? Các chuyên gia săn lùng mối đe dọa vừa phát hiện ra TCLBANKER - một trojan ngân hàng chưa từng được ghi nhận trước đây, có khả năng tấn công đến 59 nền tảng tài chính, fintech và tiền điện tử. Hoạt động này đang được Elastic Security Labs theo dõi dưới tên mã REF3076, báo hiệu sự xuất hiện của một thế hệ malware nguy hiểm mới.

Khi "tin tặc" Brazil nâng cấp vũ khí điện tử

TCLBANKER không phải là sản phẩm hoàn toàn mới mà được đánh giá là phiên bản nâng cấp lớn của Maverick - một họ malware khét tiếng đã từng gây ra nhiều thiệt hại trong cộng đồng tài chính số. Điểm đáng chú ý là malware này tận dụng một worm (sâu máy tính) có tên SORVEPOTEL để lan truyền thông qua các ứng dụng giao tiếp phổ biến. Chúng tôi cho rằng đây là bước tiến hóa đáng lo ngại, khi tội phạm mạng không chỉ nhắm vào việc đánh cắp thông tin mà còn biến các công cụ giao tiếp hàng ngày thành vũ khí tấn công.

Việc xuất phát từ Brazil không phải là điều bất ngờ, vì quốc gia này từ lâu đã trở thành "ổ dịch" của các trojan ngân hàng tinh vi. Tuy nhiên, khả năng nhắm vào 59 nền tảng cùng lúc cho thấy tham vọng toàn cầu của nhóm tội phạm đứng sau TCLBANKER. Con số này không chỉ phản ánh quy mô mà còn thể hiện sự chuẩn bị kỹ lưỡng và hiểu biết sâu sắc về hệ sinh thái tài chính hiện đại.

WhatsApp và Outlook - cánh cửa bất ngờ cho kẻ xấu

SORVEPOTEL - thành phần "động cơ lan truyền" của TCLBANKER hoạt động như một worm, có nghĩa là nó có khả năng tự sao chép và lan truyền qua mạng mà không cần sự can thiệp trực tiếp của người sử dụng. Việc tận dụng WhatsApp và Microsoft Outlook cho thấy sự tinh vi trong cách thức tấn công. Thay vì dựa vào các phương pháp truyền thống như email lạ hoặc trang web giả mạo, tội phạm mạng đã chọn những kênh giao tiếp "đáng tin cậy" nhất.

Theo phân tích kỹ thuật, malware này có thể ngụy trang thành các tin nhắn hoặc tệp đính kèm hợp pháp trong WhatsApp, hoặc xuất hiện dưới dạng email Outlook từ nguồn quen thuộc. Một khi được kích hoạt, TCLBANKER sẽ âm thầm thu thập thông tin đăng nhập, theo dõi các giao dịch tài chính và thậm chí có thể thực hiện chuyển tiền trái phép. Chúng tôi đánh giá đây là một trong những phương thức tấn công "nguy hiểm thầm lặng" nhất từ trước đến nay.

59 mục tiêu và tác động lan tỏa khôn lường

Con số 59 nền tảng tài chính không chỉ là thống kê khô khan mà phản ánh phạm vi tác động rộng lớn của TCLBANKER. Danh sách này bao gồm các ngân hàng truyền thống, ứng dụng fintech, sàn giao dịch tiền điện tử và các dịch vụ thanh toán số - tức là hầu hết các điểm chạm tài chính mà người dùng hiện đại thường xuyên sử dụng. Việc một malware có thể đồng thời nhắm vào nhiều mục tiêu đến vậy cho thấy sự chuẩn bị kỹ lưỡng và nguồn lực đáng kể từ phía tội phạm mạng.

Tại Việt Nam, mặc dù chưa có báo cáo chính thức về việc các ngân hàng trong nước nằm trong danh sách 59 mục tiêu, nhưng xu hướng tăng mạnh các cuộc tấn công vào hệ thống tài chính trong những tháng gần đây là tín hiệu cảnh báo. Theo số liệu từ Cục An toàn thông tin, số vụ tấn công mạng nhắm vào lĩnh vực tài chính - ngân hàng đã tăng 34% so với cùng kỳ năm trước. Điều này cho thấy các tổ chức tài chính Việt Nam cũng cần nâng cao cảnh giác.

Lá chắn bảo vệ cho người dùng Việt Nam

Trước mối đe dọa từ TCLBANKER, người dùng cần thực hiện ngay các biện pháp phòng vệ cơ bản. Đầu tiên, tuyệt đối không nhấp vào các liên kết hoặc tải xuống tệp đính kèm từ WhatsApp nếu không chắc chắn về nguồn gốc, kể cả khi đó là tin nhắn từ người quen. Đối với Outlook, người dùng cần kích hoạt tính năng bảo vệ nâng cao và luôn kiểm tra địa chỉ email gửi một cách kỹ lưỡng trước khi mở bất kỳ tệp đính kèm nào.

Các tổ chức tài chính và doanh nghiệp Việt Nam cần triển khai giải pháp endpoint security mạnh mẽ, cập nhật thường xuyên cơ sở dữ liệu về các mối đe dọa mới và đặc biệt chú trọng giám sát lưu lượng mạng bất thường. Chúng tôi khuyến nghị nên thiết lập hệ thống cảnh báo sớm cho các giao dịch tài chính đáng ngờ và đào tạo nhân viên nhận biết các dấu hiệu của malware banking. Bởi trong cuộc chiến chống lại tội phạm mạng, kiến thức và cảnh giác của con người vẫn là tuyến phòng thủ quan trọng nhất.