Votre panier est vide.
Certains articles de veille peuvent faire l'objet de traduction automatique.
Les chercheurs en cybersécurité ont détaillé mardi jusqu’à quatre familles différentes de chevaux de Troie bancaires brésiliens qui ont ciblé des institutions financières au Brésil, en Amérique latine et en Europe.
Collectivement appelées «Tetrade» par les chercheurs de Kaspersky, les familles de malwares – comprenant Guildma, Javali, Melcoz et Grandoreiro – ont évolué leurs capacités pour fonctionner comme une porte dérobée et adopter diverses techniques d’obscurcissement pour cacher ses activités malveillantes aux logiciels de sécurité.
« Guildma, Javali, Melcoz et Grandoreiro sont des exemples d’un autre groupe / opération bancaire brésilien qui a décidé d’étendre ses attaques à l’étranger, en ciblant des banques dans d’autres pays », a déclaré Kaspersky dans un une analyse.
« Ils bénéficient du fait que de nombreuses banques opérant au Brésil ont également des opérations ailleurs en Amérique latine et en Europe, ce qui facilite l’extension de leurs attaques contre les clients de ces institutions financières. »
Un processus de déploiement de logiciels malveillants en plusieurs étapes
Guildma et Javali utilisent tous deux un processus de déploiement de logiciels malveillants en plusieurs étapes, utilisant des e-mails de phishing comme mécanisme pour distribuer les charges utiles initiales.
Kaspersky a constaté que Guildma avait non seulement ajouté de nouvelles fonctionnalités et de la furtivité à ses campagnes depuis son origine en 2015, mais qu’elle s’était également étendue à de nouvelles cibles au-delà du Brésil pour attaquer les utilisateurs de banques en Amérique latine.
Une nouvelle version du malware, par exemple, utilise des pièces jointes compressées (par exemple, .VBS, .LNK) comme vecteur d’attaque pour masquer les charges utiles malveillantes ou un fichier HTML qui exécute un morceau de code JavaScript pour télécharger le fichier et en récupérer d’autres modules utilisant un outil de ligne de commande légitime comme BITSAdmin.
En plus de tout cela, il profite de Flux de données alternatifs NTFS pour masquer la présence des charges utiles téléchargées dans les systèmes cibles et exploite Détournement de l’ordre de recherche DLL pour lancer les fichiers binaires du malware, en ne poursuivant que si l’environnement est exempt d’outils de débogage et de virtualisation.
« Afin d’exécuter les modules supplémentaires, le logiciel malveillant utilise la technique de cavage de processus pour cacher la charge utile malveillante dans un processus sur liste blanche, tel que svchost.exe », a déclaré Kaspersky. Ces modules sont téléchargés à partir d’un serveur contrôlé par un attaquant, dont les informations sont stockées dans les pages Facebook et YouTube dans un format crypté.
Une fois installée, la charge utile finale surveille des sites Web bancaires spécifiques, qui, une fois ouverts, déclenchent une cascade d’opérations permettant aux cybercriminels d’effectuer toute transaction financière à l’aide de l’ordinateur de la victime.
Javali (actif depuis novembre 2017), de même, télécharge des charges utiles envoyées par e-mail pour récupérer un malware de dernière étape à partir d’un C2 distant capable de voler des informations financières et de connexion d’utilisateurs au Brésil et au Mexique qui visitent des sites Web de crypto-monnaie (Bittrex) ou de paiement. solutions (Mercado Pago).
Voler des mots de passe et des portefeuilles Bitcoin
Melcoz, une variante du PC d’accès à distance RAT open source, est lié à une série d’attaques au Chili et au Mexique depuis 2018, le malware ayant la capacité de voler les mots de passe des navigateurs et les informations du presse-papiers et des portefeuilles Bitcoin en remplaçant les détails du portefeuille d’origine avec une alternative douteuse appartenant aux adversaires.
Il utilise des scripts VBS dans les fichiers du package d’installation (.MSI) pour télécharger le logiciel malveillant sur le système et abuse par la suite de l’interpréteur AutoIt et du service VMware NAT pour charger la DLL malveillante sur le système cible.
« Le malware permet à l’attaquant d’afficher une fenêtre de superposition devant le navigateur de la victime pour manipuler la session de l’utilisateur en arrière-plan », ont déclaré les chercheurs. « De cette manière, la transaction frauduleuse est effectuée à partir de la machine de la victime, ce qui rend plus difficile la détection des solutions anti-fraude du côté de la banque. »
En outre, un acteur de la menace peut également demander des informations spécifiques qui lui sont demandées lors d’une transaction bancaire, comme un mot de passe à usage unique, contournant ainsi l’authentification à deux facteurs.
Enfin, Grandoreiro a fait l’objet d’une campagne diffusée à travers le Brésil, le Mexique, le Portugal et l’Espagne depuis 2016, permettant aux attaquants d’effectuer des transactions bancaires frauduleuses en utilisant les ordinateurs des victimes pour contourner les mesures de sécurité utilisées par les banques.
Le logiciel malveillant lui-même est hébergé sur les pages Google Sites et diffusé via des sites Web compromis et Google Ads ou des méthodes de spear-phishing, en plus d’utiliser Algorithme de génération de domaine (DGA) pour cacher l’adresse C2 utilisée lors de l’attaque.
«Les escrocs brésiliens créent rapidement un écosystème d’affiliés, recrutent des cybercriminels avec qui travailler dans d’autres pays, adoptent MaaS (malware-as-a-service) et ajoutent rapidement de nouvelles techniques à leurs malwares afin de les maintenir pertinents et financièrement attractifs pour leurs partenaires », a conclu Kaspersky.
«En tant que menace, ces familles de chevaux de Troie bancaires tentent d’innover en utilisant la DGA, des charges utiles chiffrées, le vidage de processus, le détournement de DLL, de nombreux LoLBins, des infections sans fichier et d’autres astuces pour empêcher l’analyse et la détection. Nous pensons que ces menaces vont évoluer pour cibler plus de banques dans plus de pays. «
Voir aussi :
Poster un commentaire