Malgré un coup de filet orchestré par Interpol en janvier 2024, le groupe de cybercriminels derrière le cheval de Troie Grandoreiro resurgit pour sévir. Organisé en « malware-as-a-service », il est encore plus virulent et attaque plus de 1 500 organismes bancaires dans 60 pays à travers le monde.
Il semble qu'à mesure que les infrastructures sensibles musclent leur protection, les hackers upgradent leurs attaques. C'est ce qu'ont fait les cybercriminels derrière le malware bancaire Grandoreiro en ayant considérablement élargi leur rayon d'action. Longtemps cantonnée à l'Amérique latine, cette entité vise à présent plus de 1 500 applications et sites Web bancaires répartis dans une soixantaine de pays.
Ce sont des chercheurs de X-Force qui ont analysé ces changements. De récentes mises à jour ont en effet permis à Grandoreiro d'étendre ses capacités offensives. L'Europe, l'Afrique et l'Asie-Pacifique font désormais partie de son terrain de chasse. Des campagnes de phishing se faisant passer pour des services fiscaux nationaux permettent aux pirates d'infecter de nouvelles cibles. Une fois un système compromis, le logiciel malveillant tente de dérober des identifiants et données bancaires. Il cherche également à s'autopropager en utilisant les clients de messagerie présents sur la machine infectée.
01 juillet 2024 à 11h25
Grandoreiro, un cheval de Troie dopé aux ressources décuplées
Les experts de chez X-Force ont pu analyser en détail les nouveaux rouages de Grandoreiro. Ce malware bancaire, probablement exploité en tant que « malware-as-a-service » par des cybercriminels, a été largement remanié. Les pirates ont notamment retravaillé ses algorithmes de chiffrement de chaînes de caractères et de génération de domaines. Cette dernière fonctionnalité lui permet de se connecter chaque jour à pas moins de 12 serveurs de commande et contrôle différents. Grandoreiro parvient ainsi à brouiller les pistes et compliquer sa détection.
L'autre changement majeur réside dans la grande diversité des applications bancaires désormais ciblées par ce cheval de Troie. Auparavant concentré sur l'Amérique latine, Grandoreiro s'attaque à présent aux institutions financières d'Europe, d'Afrique, d'Asie et d'Océanie. Plus de 1 500 applications mobiles et sites Web sont dans le viseur des pirates, leur permettant potentiellement de voler des données dans plus de 60 pays. Cette large palette élargit considérablement la surface d'attaque de Grandoreiro et les préjudices financiers qu'il peut causer.
Un pouvoir de propagation accru et inquiétant
Outre ses nouvelles cibles géographiques, Grandoreiro dispose à présent d'un moyen inédit de se répandre de manière virale. Il peut en effet récupérer les adresses e-mail présentes sur un système infecté, puis utiliser le client de messagerie Microsoft Outlook pour envoyer d'autres campagnes de phishing qui peuvent cette fois toucher les clients de ces banques. Le cheval de Troie parvient à désactiver temporairement certaines protections d'Outlook pour accomplir cette tâche. Les expéditeurs légitimes des e-mails de propagande deviennent alors les propres contacts de la victime initiale, ce qui rend plus complexe encore la technique de détection. Une fois de plus, les hackers passent sous les radars de sécurité.
Cette nouvelle capacité contribue grandement à accroître la diffusion de Grandoreiro. Les experts estiment en effet que le fort volume de spam observé dernièrement pour ce malware bancaire provient probablement de cette fonctionnalité. Les cybercriminels n'ont ainsi plus besoin d'acheter des listes d'adresses pour diffuser leur logiciel malveillant. Ils peuvent désormais compter sur les boîtes mail déjà infiltrées pour trouver de nouvelles victimes. C'est ce cercle vicieux qui a incité Melyssa Friedrich et Golo Mühr, les deux experts à l'origine de cette analyse de Grandoreiro, à recommander aux entreprises et organisations sensibles de renforcer non seulement leurs outils de protection des données et systèmes mais encore de former les personnels à la vigilance et détection des campagnes de phishing ou aux cyberattaques. Quant aux clients, potentielles victimes, Clubic recommande la même vigilance à leur échelle, à savoir principalement de ne jamais communiquer vos coordonnées bancaires par téléphone, SMS ou e-mail, en gardant à l'esprit qu'aucun organisme bancaire ne vous les demandera sous ces formes.
- storage15 Go de stockage
- securityChiffrement natif en option
- alternate_emailPas de domaine personnalisé
- smartphoneApplications iOS, Android
- push_pinJurisdiction USA
Source : The Hacker News, X-Force
