ESET, l’un des leaders mondiaux de la cybersécurité, s’est penché sur les fameux chevaux de Troie bancaires développés dans le langage Delphi, particulièrement actifs en Amérique latine. Après avoir étudié les chaînes de distribution de ces logiciels malveillants et leur comportement, l’équipe de recherche ESET a identifié plus de dix nouvelles familles, dont l’une inédite jusqu’à présent baptisée « Amavaldo ».
Ces chevaux de Troie bancaires ciblent spécifiquement l’Amérique latine et partagent un ensemble de caractéristiques communes. Ils sont écrits dans le langage de programmation Delphi, contiennent des fonctionnalités de porte dérobée, abusent des outils et logiciels légitimes et visent les pays hispanophones ou lusophones.
Contrairement à la plupart des chevaux de Troie bancaires connus par ailleurs, ceux qui ciblent l’Amérique latine utilisent une forme d’ingénierie sociale originale. Ils observent en effet en permanence (en tâche de fond) les fenêtres actives sur l’ordinateur de la victime, et s’ils en trouvent une liée à une banque, ils s’activent alors pour lancer leur attaque.
Ces attaques visent généralement à persuader la victime qu’il est urgent d’agir, que ce soit pour procéder à une (fausse) mise à jour logicielle ou pour une vérification des informations relatives à sa carte de crédit ou à son compte bancaire, souvent ironiquement « pour des raisons de sécurité ».
Cette nouvelle famille de logiciels malveillants se caractérise notamment par le recours à un chiffrement personnalisé afin masquer les chaînes de caractères, et ainsi rendre plus difficile la détection. Une fois infiltrés, ces nouveaux chevaux de Troie installent une porte dérobée et commencent à prendre des captures d’écran et des photos de la victime par sa webcam, à restreindre l’accès à divers sites Web bancaires, et à simuler la souris et le clavier.
Mais le plus original est le comportement sophistiqué d’Amavaldo après avoir détecté une fenêtre liée à une banque. Pour s’assurer que la victime suivra bien ses instructions, une capture d’écran du bureau est alors prise et utilisée avec une fausse fenêtre contextuelle, empêchant la victime d’interagir avec quoi que ce soit d’autre à l’extérieur de cette fenêtre.
ESET estime que cette nouvelle famille de chevaux de Troie se propage par le biais d’une campagne de spam par e-mail, les fichiers étant déguisés en PDF légitimes. Le malware cible manifestement les applications bancaires brésiliennes et mexicaines.
Pour en savoir plus sur la façon dont ESET peut vous protéger contre les logiciels malveillants, visitez www.eset.com
CONTACT PRESSE
Darina Santamaria - 06 61 08 42 45- darina.j@eset-nod32.fr