Le cheval de Troie Grandoreiro est de retour et cible plus de 1 500 banques à travers le monde

19 mai 2024 à 16h51
4
Plusieurs banques européennes sont la cible du malware Grandoreiro - © Ground Picture / Shutterstock
Plusieurs banques européennes sont la cible du malware Grandoreiro - © Ground Picture / Shutterstock

Malgré un coup de filet orchestré par Interpol en janvier 2024, le groupe de cybercriminels derrière le cheval de Troie Grandoreiro resurgit pour sévir. Organisé en « malware-as-a-service », il est encore plus virulent et attaque plus de 1 500 organismes bancaires dans 60 pays à travers le monde.

Il semble qu'à mesure que les infrastructures sensibles musclent leur protection, les hackers upgradent leurs attaques. C'est ce qu'ont fait les cybercriminels derrière le malware bancaire Grandoreiro en ayant considérablement élargi leur rayon d'action. Longtemps cantonnée à l'Amérique latine, cette entité vise à présent plus de 1 500 applications et sites Web bancaires répartis dans une soixantaine de pays.

Ce sont des chercheurs de X-Force qui ont analysé ces changements. De récentes mises à jour ont en effet permis à Grandoreiro d'étendre ses capacités offensives. L'Europe, l'Afrique et l'Asie-Pacifique font désormais partie de son terrain de chasse. Des campagnes de phishing se faisant passer pour des services fiscaux nationaux permettent aux pirates d'infecter de nouvelles cibles. Une fois un système compromis, le logiciel malveillant tente de dérober des identifiants et données bancaires. Il cherche également à s'autopropager en utilisant les clients de messagerie présents sur la machine infectée.

Meilleur antivirus, le comparatif en mai 2024
A découvrir
Meilleur antivirus, le comparatif en mai 2024
30 avr. 2024 à 15:05
Comparatifs services

Grandoreiro, un cheval de Troie dopé aux ressources décuplées

Les experts de chez X-Force ont pu analyser en détail les nouveaux rouages de Grandoreiro. Ce malware bancaire, probablement exploité en tant que « malware-as-a-service » par des cybercriminels, a été largement remanié. Les pirates ont notamment retravaillé ses algorithmes de chiffrement de chaînes de caractères et de génération de domaines. Cette dernière fonctionnalité lui permet de se connecter chaque jour à pas moins de 12 serveurs de commande et contrôle différents. Grandoreiro parvient ainsi à brouiller les pistes et compliquer sa détection.

L'autre changement majeur réside dans la grande diversité des applications bancaires désormais ciblées par ce cheval de Troie. Auparavant concentré sur l'Amérique latine, Grandoreiro s'attaque à présent aux institutions financières d'Europe, d'Afrique, d'Asie et d'Océanie. Plus de 1 500 applications mobiles et sites Web sont dans le viseur des pirates, leur permettant potentiellement de voler des données dans plus de 60 pays. Cette large palette élargit considérablement la surface d'attaque de Grandoreiro et les préjudices financiers qu'il peut causer.

Une fois le malware déployé, les hackers s'en prennent aux victimes par e-mail - © Daniel Beckemeier / Shutterstock
Une fois le malware déployé, les hackers s'en prennent aux victimes par e-mail - © Daniel Beckemeier / Shutterstock

Un pouvoir de propagation accru et inquiétant

Outre ses nouvelles cibles géographiques, Grandoreiro dispose à présent d'un moyen inédit de se répandre de manière virale. Il peut en effet récupérer les adresses e-mail présentes sur un système infecté, puis utiliser le client de messagerie Microsoft Outlook pour envoyer d'autres campagnes de phishing qui peuvent cette fois toucher les clients de ces banques. Le cheval de Troie parvient à désactiver temporairement certaines protections d'Outlook pour accomplir cette tâche. Les expéditeurs légitimes des e-mails de propagande deviennent alors les propres contacts de la victime initiale, ce qui rend plus complexe encore la technique de détection. Une fois de plus, les hackers passent sous les radars de sécurité.

Cette nouvelle capacité contribue grandement à accroître la diffusion de Grandoreiro. Les experts estiment en effet que le fort volume de spam observé dernièrement pour ce malware bancaire provient probablement de cette fonctionnalité. Les cybercriminels n'ont ainsi plus besoin d'acheter des listes d'adresses pour diffuser leur logiciel malveillant. Ils peuvent désormais compter sur les boîtes mail déjà infiltrées pour trouver de nouvelles victimes. C'est ce cercle vicieux qui a incité Melyssa Friedrich et Golo Mühr, les deux experts à l'origine de cette analyse de Grandoreiro, à recommander aux entreprises et organisations sensibles de renforcer non seulement leurs outils de protection des données et systèmes mais encore de former les personnels à la vigilance et détection des campagnes de phishing ou aux cyberattaques. Quant aux clients, potentielles victimes, Clubic recommande la même vigilance à leur échelle, à savoir principalement de ne jamais communiquer vos coordonnées bancaires par téléphone, SMS ou e-mail, en gardant à l'esprit qu'aucun organisme bancaire ne vous les demandera sous ces formes.

Microsoft Outlook
  • Intégration à la suite Microsoft 365
  • Fonctionnalité pour trier ses messages à sa guise
  • Le gestionnaire de tâche et le calendrier pour l’organisation

La messagerie Outlook est intégrée à la suite Microsoft 365, largement répandue dans le monde professionnel et permettant une productivité optimisée et un meilleur travail d’équipe. Elle donne ainsi accès à de nombreux services de la firme de Redmond.

La messagerie Outlook est intégrée à la suite Microsoft 365, largement répandue dans le monde professionnel et permettant une productivité optimisée et un meilleur travail d’équipe. Elle donne ainsi accès à de nombreux services de la firme de Redmond.

Mélina LOUPIA

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, d...

Lire d'autres articles

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (4)

F_Bombyx
Ohh là là…<br /> Que de mauvaises niouzes…<br /> Je sombre dans la dépression, Freud, au secours!
F_Bombyx
Les pirates font de plus en plus l’actu…<br /> On peut oser commencer de s’inquiéter.
DragonSky
Je comprend pourquoi j’ai le compte a 0.<br /> Ha non c’est pas eux,ma banquière vient de me dire que je suis trop dépensier.
alsaco67
J’imagine que ceux qui travaillent dans la protection informatique et ceux qui jouent aux pirates sont tous informaticiens, parfois sortant des mêmes écoles voir avec une double casquette … Il est sans doute facile et lucratif de créer une parade quand on a créé la menace non ? On ne s’en sortira donc jamais.
Voir tous les messages sur le forum
Haut de page

Sur le même sujet