Le cheval de Troie bancaire Android « Grandoreiro » se répand dans une campagne de phishing à grande échelle dans plus de 60 pays, ciblant les comptes clients d’environ 1 500 banques.

En janvier 2024, une opération internationale d’application de la loi impliquant le Brésil, l’Espagne, Interpol, ESET et Caixa Bank a annoncé la perturbation de l’opération de logiciels malveillants, qui ciblait les pays hispanophones depuis 2017 et a causé 120 millions de dollars de pertes.

Dans le même temps, cinq arrestations et treize perquisitions et saisies ont eu lieu à travers le Brésil. Cependant, aucune information n’a été fournie sur le rôle des personnes arrêtées dans l’opération.

L’équipe X-Force d’IBM rapporte que Grandoreiro semble être revenu à des opérations à grande échelle depuis mars 2024, probablement loué à des cybercriminels via un modèle de logiciel malveillant en tant que service (MaaS), et ciblant désormais également les pays anglophones.

Emplacements des applications les dernières cibles du Grand oreiro

De plus, le cheval de Troie lui-même a subi une refonte technique qui a ajouté de nombreuses nouvelles fonctionnalités et améliorations puissantes, indiquant que ses créateurs ont échappé à l’arrestation et n’ont pas été dissuadés par la répression précédente.

Nouvelles campagnes de phishing
Étant donné que de multiples acteurs de la menace louent le malware, les leurres de phishing sont divers et conçus spécifiquement pour les organisations ciblées par un cybercriminel particulier.

Les courriels de phishing vus par IBM usurpent l’identité d’entités gouvernementales au Mexique, en Argentine et en Afrique du Sud, principalement des organisations d’administration fiscale, des services fiscaux et des commissions fédérales de l’électricité.

Les courriels sont rédigés dans la langue maternelle du destinataire, intègrent des logos et des formats officiels et contiennent un appel à l’action, tel que cliquer sur des liens pour afficher des factures, des relevés de compte ou des documents fiscaux.

E-mails de phishing ciblant des personnes en Afrique du Sud

Lorsque les destinataires cliquent sur ces e-mails, ils sont redirigés vers une image d’un PDF qui déclenche le téléchargement d’un fichier ZIP contenant un exécutable gonflé (100 Mo), qui est le chargeur Grandoreiro.

Nouvelles fonctionnalités du Grand oreiro
IBM X-Force a remarqué plusieurs nouvelles fonctionnalités et mises à jour importantes dans la dernière variante du cheval de Troie bancaire Grandoreiro, ce qui en fait une menace plus évasive et efficace.

Ceux-ci peuvent être résumés dans ce qui suit:

  • Algorithme de décryptage de chaîne retravaillé et amélioré en utilisant une combinaison d’AES CBC et d’un décodeur personnalisé.
  • Mises à jour de l’algorithme de génération de domaine (DGA) qui inclut désormais plusieurs semences pour séparer les communications de commande et de contrôle (C2) avec les tâches de l’opérateur.
  • Nouveau mécanisme qui cible les clients Microsoft Outlook, désactive les alertes de sécurité et les utilise pour envoyer du phishing à de nouvelles cibles.
  • Nouveau mécanisme de persistance reposant sur la création de clés d’exécution du registre (‘HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run’ et ‘HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion\Run’)
  • Expansion du ciblage des applications bancaires et inclusion des portefeuilles de crypto-monnaie.
  • Extension du jeu de commandes, incluant désormais le contrôle à distance, le téléchargement/téléchargement de fichiers, l’enregistrement de frappe et la manipulation du navigateur via des commandes JavaScript.

Une autre nouveauté notable est la capacité de Grandoreiro à effectuer un profilage détaillé des victimes et à décider s’il s’exécutera ou non sur l’appareil, ce qui donne aux opérateurs un meilleur contrôle de leur portée de ciblage.

Les analystes d’IBM rapportent que la dernière version du cheval de Troie évite l’exécution dans des pays spécifiques comme la Russie, la Tchéquie, les Pays-Bas et la Pologne, ainsi que sur les machines Windows 7 aux États-Unis où aucun antivirus n’est actif.

Ce qui précède indique clairement que malgré les récentes mesures d’application de la loi, Grandoreiro est vivant et donne des coups de pied, et malheureusement, il semble plus fort que jamais.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *