S'inscrire

Cybersécurité - 24/10/2024

De nouvelles variantes du malware bancaire Grandoreiro émergent avec des tactiques avancées pour échapper à la détection

Hacker utilisant un outil de cybersécurité

De nouvelles variantes d’un malware bancaire appelé Grandoreiro ont été découvertes, adoptant de nouvelles tactiques pour tenter de contourner les mesures anti-fraude, indiquant que le logiciel malveillant continue d’être activement développé malgré les efforts des forces de l’ordre pour réprimer l’opération.

« Seule une partie de ce gang a été arrêtée : les opérateurs restants derrière Grandoreiro continuent d’attaquer les utilisateurs partout dans le monde, développant de nouveaux malwares et établissant de nouvelles infrastructures », a déclaré Kaspersky dans une analyse publiée mardi.

Parmi les autres astuces récemment introduites, on trouve l’utilisation d’un algorithme de génération de domaine (DGA) pour les communications de commande et de contrôle (C2), le cryptage par vol de texte chiffré ( CTS ) et le suivi de souris. On observe également des « versions locales plus légères » qui ciblent spécifiquement les clients des banques au Mexique.

Grandoreiro , actif depuis 2016, a constamment évolué au fil du temps, s’efforçant de rester indétectable, tout en élargissant sa portée géographique à l’Amérique latine et à l’Europe. Il est capable de voler les identifiants de 1 700 institutions financières, situées dans 45 pays et territoires.

Il est censé fonctionner selon le modèle de malware en tant que service (MaaS), bien que les preuves indiquent qu’il n’est proposé qu’à certains cybercriminels et partenaires de confiance.

L’un des développements les plus significatifs de cette année concernant Grandoreiro est l’arrestation de certains membres du groupe, un événement qui a conduit à la fragmentation de la base de code Delphi du malware.

« Cette découverte est étayée par l’existence de deux bases de code distinctes dans des campagnes simultanées : des échantillons plus récents contenant du code mis à jour, et des échantillons plus anciens qui s’appuient sur la base de code héritée, ciblant désormais uniquement les utilisateurs au Mexique, clients d’environ 30 banques », a déclaré Kaspersky.

Grandoreiro se propage principalement par le biais d’e-mails de phishing et, dans une moindre mesure, par le biais de publicités malveillantes diffusées sur Google. La première étape est un fichier ZIP, qui contient à son tour un fichier légitime et un chargeur MSI responsable du téléchargement et du lancement du malware.

Logiciel malveillant bancaire Grandoreiro />

Il a été constaté que les campagnes observées en 2023 exploitaient des exécutables portables extrêmement volumineux avec une taille de fichier de 390 Mo en se faisant passer pour des pilotes SSD de données externes AMD pour contourner les bacs à sable et passer sous le radar.

Le malware bancaire est équipé de fonctionnalités permettant de collecter des informations sur l’hôte et des données de localisation d’adresse IP. Il extrait également le nom d’utilisateur et vérifie s’il contient les chaînes « John » ou « WORK » et, si tel est le cas, arrête son exécution.

« Grandoreiro recherche des solutions anti-malware telles qu’AVAST, Bitdefender, Nod32, Kaspersky, McAfee, Windows Defender, Sophos, Virus Free, Adaware, Symantec, Tencent, Avira, ActiveScan et CrowdStrike », a indiqué la société. « Il recherche également des logiciels de sécurité bancaire, tels que Topaz OFD et Trusteer. »

Une autre fonction notable du malware est de vérifier la présence de certains navigateurs Web, clients de messagerie, VPN et applications de stockage en nuage sur le système et de surveiller l’activité des utilisateurs sur ces applications. En outre, il peut agir comme un coupe-circuit pour rediriger les transactions de cryptomonnaie vers des portefeuilles sous le contrôle de l’acteur malveillant.

Les nouvelles chaînes d’attaque détectées à la suite des arrestations de cette année incluent une barrière CAPTCHA avant l’exécution de la charge utile principale comme moyen de contourner l’analyse automatique.

La dernière version de Grandoreiro a également reçu des mises à jour importantes, notamment la possibilité de se mettre à jour automatiquement, d’enregistrer les frappes au clavier, de sélectionner le pays pour répertorier les victimes, de détecter les solutions de sécurité bancaire, d’utiliser Outlook pour envoyer des e-mails de spam et de surveiller les e-mails Outlook pour des mots clés spécifiques.

Il est également équipé pour capturer les mouvements de la souris, signalant une tentative d’imitation du comportement de l’utilisateur et incitant les systèmes anti-fraude à identifier l’activité comme légitime.

« Cette découverte met en évidence l’évolution continue des logiciels malveillants comme Grandoreiro, où les attaquants intègrent de plus en plus de tactiques conçues pour contrer les solutions de sécurité modernes qui s’appuient sur la biométrie comportementale et l’apprentissage automatique », ont déclaré les chercheurs.

Une fois les identifiants obtenus, les pirates virent les fonds sur des comptes appartenant à des mules financières locales au moyen d’applications de transfert, de cryptomonnaies, de cartes-cadeaux ou d’un distributeur automatique de billets. Les mules sont identifiées à l’aide de chaînes Telegram et reçoivent entre 200 et 500 dollars par jour.

L’accès à distance à la machine de la victime est facilité à l’aide d’un outil basé sur Delphi appelé Operator qui affiche une liste des victimes chaque fois qu’elles commencent à naviguer sur le site Web d’une institution financière ciblée.

« Les acteurs de la menace derrière le malware bancaire Grandoreiro font évoluer en permanence leurs tactiques et leurs malwares pour mener avec succès des attaques contre leurs cibles et échapper aux solutions de sécurité », a déclaré Kaspersky.

« Les chevaux de Troie bancaires brésiliens constituent déjà une menace internationale ; ils comblent les lacunes laissées par les gangs d’Europe de l’Est qui ont migré vers les ransomwares. »

Cette évolution intervient quelques semaines après que la société mexicaine de cybersécurité Scitum a mis en garde contre une nouvelle campagne baptisée Gecko Assault qui consiste à distribuer deux familles de logiciels malveillants bancaires différentes, Mispadu et Mekotio, pour cibler les utilisateurs Windows de la région Amérique latine (LATAM).

Les utilisateurs d’Amérique latine, en particulier ceux du Brésil, ont également été ciblés par un autre cheval de Troie bancaire nommé Silver Oryx Blade dans le but de voler des informations financières sensibles lorsqu’ils accèdent aux sites bancaires sur leurs navigateurs Web.

« Silver Oryx Blade peut voler des informations bancaires à tous types d’utilisateurs, y compris aux employés d’organisations », a noté Scitum . « De plus, il dispose de capacités d’exécution de commandes. »

« La méthode de distribution de ce cheval de Troie consiste à envoyer des courriers électroniques de phishing (ciblant les utilisateurs brésiliens) qui utilisent des prétextes tels que de prétendues primes salariales, des transferts PIX et des avis fiscaux, se faisant passer pour les services financiers des ressources humaines et le ministère des Finances du Brésil. »

Sujets récents