Le malware Grandoreiro dérobe des données bancaires

Les chercheurs mettent en garde contre le malware Grandoreiro qui utilise une fausse extension sur le navigateur Chrome pour cibler les comptes des clients bancaires en Espagne.

Grandoreiro est un type de cheval de Troie bancaire de superposition à distance, conçu pour aider les attaquants à prendre le contrôle des appareils et à afficher une image de superposition en plein écran lorsque la victime accède à son compte bancaire en ligne. En arrière-plan, pendant ce temps, le hacker lance un transfert d’argent frauduleux à partir du compte compromis. Le malware Grandoreiro, au cœur de cette attaque, est généralement connu pour cibler exclusivement les clients bancaires au Brésil.Cette dernière attaque montre donc que ses opérateurs s’étendent aux victimes dans de nouveaux pays.

La campagne, découverte en Février 2020, utilise des vidéos sur le thème du coronavirus (envoyées via des emails spam) pour inciter les utilisateurs à cliquer sur une URL qui les mène à un site Web malveillant, ont déclaré Dani Abramov et Limor Kessem, chercheurs d’IBM X-Force, dans une analyse du malware.

Sur ce site Web malveillant, les victimes sont ensuite poussées à télécharger un fichier .MSI à partir d’un répertoire Github, qui est en fait un loader de logiciels malveillants. Le payload Grandoreiro est ensuite récupérée via une URL dans le code du loader.

Après le téléchargement, Grandoreiro établit une connexion avec son serveur de commande et de contrôle (C2), qui, selon les chercheurs, permet au logiciel malveillant d’envoyer des notifications sur les informations de la machine et de faciliter les capacités d’accès à distance du pirate informatique lorsqu’une victime accède à un site bancaire.

grandoreiro

La technique unique utilisée par les opérateurs de Grandoreiro est le téléchargement d’une extension malveillante pour le navigateur Google Chrome. Cette extension prétend être un “Google Plugin” version 1.5.0., Et est ajoutée en tant que bouton visuellement carré sur la fenêtre du navigateur.

L’extension demande aux victimes diverses autorisations, notamment la lecture de l’historique des navigateurs des victimes, l’affichage des notifications, la modification des données copiées et collées, etc.

“Nous pensons que le malware utilise cette extension pour récupérer les cookies de la victime et les utiliser avec un autre appareil pour gérer la session active de la victime”, ont déclaré les chercheurs. “Avec cette méthode, l’attaquant n’aura pas besoin de continuer à contrôler la machine de la victime.”

Une fois actif sur l’appareil infecté, Grandoreiro attend en arrière-plan que la victime entreprenne une action qui le déclenchera, telle que la navigation sur le site Web d’une banque ciblée. Lorsque cela se produit, le pirate appelle la fonction d’accès à distance du logiciel malveillant et lance des images malveillantes (de l’interface des banques ciblées) sur l’écran des victimes, les incitant à maintenir la session en vie et à fournir des informations (comme des informations d’identification, etc.). Ensuite, en arrière-plan, le pirate informatique peut initier un transfert frauduleux pour vider le compte des victimes – sans déclencher un quelconque signal d’alarme des banques.

Expansion géographique de Grandoreiro

Les chercheurs ont observé que les échantillons de logiciels malveillants ciblant les victimes en Espagne avaient un code source très similaires (identiques à 80-90%) des échantillons découvert au Brésil.

grandoreiro

Cela les a amenés à conclure que les pirates ont étendu leurs attaques à une nouvelle région ou ont collaboré avec d’autres pirates informatique en Espagne. Les chevaux de Troie superposés à distance sont faciles à trouver et à acheter sur les marchés souterrains du Dark Web, ont noté les chercheurs.

“Grandoreiro … a migré en Espagne sans modification significative, prouvant que les pirates qui connaissent le malware de ses origines brésiliennes collaborent avec des pirates en Espagne ou ont eux-mêmes propagé les attaques dans la région”, ont déclaré les chercheurs.

Les chercheurs ont déclaré que des chevaux de Troie sophistiqués, tels que TrickBot et IcedID, sont utilisés contre de grandes banques dans divers pays – mais les similitudes linguistiques entre l’Amérique latine et d’autres pays hispanophones permettent à des plus petits logiciels malveillants comme Grandoreiro d’être exploitées dans de nouveaux endroits.

“[Nous] continuons de voir [des programmes malveillants se propager] dans la région d’Amérique Latine et partout où la barrière de la langue peut permettre aux mêmes cybercriminels d’opérer, à savoir les pays hispanophones et lusophones en dehors de l’Amérique Latine”, ont-ils déclaré.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x