Titre: Un cheval de Troie exploite la pandémie COVID-19 : ESET enquête sur Grandoreiro  (28/04/2020 Par cda)
– Dans le cadre d'une enquête sur une série sur les chevaux de Troie bancaires en Amérique latine, une équipe d’ESET fait des recherches approfondies sur Grandoreiro. Ce cheval de Troie cible non seulement les utilisateurs du Brésil, du Mexique, et du Pérou mais aussi ceux d’Espagne. Distribué quasi exclusivement par spam, il utilise depuis peu de faux sites Web capitalisant sur la pandémie mondiale de coronavirus. Grandoreiro démontre un effort continu de ses auteurs pour échapper à la détection.

Bien qu'ESET ait constaté que Grandoreiro soit principalement distribué par du spam, alors que ses auteurs utilisent généralement une fausse mise à jour de Java ou Flash, récemment, un passage aux arnaques liées à COVID-19 a pu être constaté. Le cheval de Troie est caché dans des vidéos sur de faux sites Web promettant d’intéressantes informations sur le coronavirus. Mais au lieu d’afficher les informations, cliquer sur la vidéo entraîne le téléchargement d'une charge payante sur les appareils des visiteurs.

Actif depuis au moins 2017 au Brésil et au Pérou, Grandoreiro s'est étendu, en 2019, au Mexique et à l’Espagne. Tout comme les autres chevaux de Troie bancaires d’Amérique Latine, Grandoreiro attaque ses victimes en affichant de fausses fenêtres pop-up pour les amener à divulguer des informations sensibles.

Carte de chaleur montrant les détections de Grandoreiro faites par ESET



La porte dérobée (backdoor) de Grandoreiro comprend : la manipulation des fenêtres ; sa propre mise à jour ; la capture de frappe ; la simulation des actions de la souris et du clavier ; la circulation dans les navigateurs vers les URL choisies ; la déconnexion et le redémarrage des machines ; le blocage de l'accès aux sites Web.

Grandoreiro recueille toutes sortes d’informations sur les machines infectées et, dans certaines versions, il vole aussi des informations d'identification stockées dans Google Chrome ainsi que des données stockées dans les navigateurs Microsoft Outlook.

« Pour un cheval de Troie bancaire latino-américain, Grandoreiro utilise un nombre étonnamment élevé de méthodes diverses afin d’échapper à la détection et à l'imitation. Cela comprend de nombreuses techniques permettant de détecter ou même de désactiver des logiciels de protection bancaire », explique Robert Šuman, le chercheur d’ESET qui dirige l’équipe analysant Grandoreiro. « Ils semblent développer très rapidement ce cheval de Troie bancaire. Pratiquement, chaque nouvelle version que nous voyons introduit de nouveaux changements. Nous les suspectons de développer simultanément au moins deux variantes. » Et il ajoute : « D'un point de vue technique, il est intéressant de voir qu’ils utilisent également une application très particulière de technique de remplissage binaire qui rend difficile le fait de s’en débarrasser tout en conservant un fichier valide ».

Contrairement à la majorité des chevaux de Troie bancaires d'Amérique latine, Grandoreiro utilise des chaînes de distribution de tailles réduites. Selon les campagnes, il peut choisir un type de téléchargeur différent. Ces téléchargeurs sont souvent stockés sur des services de partage en ligne populaires tels que GitHub, Dropbox, Pastebin, 4shared ou 4Sync.

Pour plus de détails techniques sur Grandoreiro, lisez le blog blogpost “Grandoreiro: How engorged can an EXE get?” Vous trouverez les dernières nouvelles concernant la recherche d'ESET, sur ESET research on Twitter
Retour