Dans le cadre de notre série sur les chevaux de Troie bancaires en Amérique latine, les chercheurs d’ESET ont disséqué Grandoreiro. Ce cheval de Troie qui cible surtout des utilisateurs au Brésil, au Mexique, en Espagne et au Pérou est diffusé presque exclusivement par email. Il utilise depuis peu de faux sites web qui exploitent le thème de la pandémie de coronavirus. Cette évolution témoigne des efforts constants des auteurs de Grandoreiro pour échapper à toute détection.
Si Grandoreiro s’est surtout diffusé par des emails non sollicités prétextant une mise à jour Java ou Flash, ESET a récemment observé un basculement vers des escroqueries liées au COVID19. Le cheval de Troie était dissimulé dans des fausses vidéos sites illégitimes d’informations sur le coronavirus. Quand l’internaute clique sur la vidéo, au lieu de la visionner, il lance le téléchargement d’une charge utile sur ses appareils.
Grandoreiro, actif depuis au moins 2017 au Brésil et au Pérou, s’est répandu en 2019 au Mexique et en Espagne. Comme pour les autres chevaux de Troie bancaires latino-américains dans cette série, Grandoreiro affiche des fenêtres contextuelles trompeuses pour amener ses victimes à divulguer des informations sensibles.
Carte d’activité de Grandoreiro d’après les détections d’ESET
Dans sa fonctionnalité de porte dérobée, Grandoreiro inclut la manipulation de fenêtres ; sa propre mise à jour ; l’enregistrement de frappes ; l’émulation de la souris et du clavier ; la redirection de navigateurs vers des URL définies ; la déconnexion et le redémarrage de la machine ; et le blocage de l’accès à des sites web. Grandoreiro collecte différentes informations sur les machines infectées et, selon les versions, vole les identifiants stockés dans le navigateur Google Chrome et Microsoft Outlook.
« Pour un cheval de Troie bancaire latino-américain, Grandoreiro utilise un nombre surprenant de tactiques pour éviter la détection, y compris par émulation. Il inclut notamment de nombreuses techniques de détection et même de désactivation des logiciels de protection bancaire, explique Robert Šuman, chercheur d’ESET à la tête de l’équipe d’analyse de Grandoreiro. Les créateurs de ce cheval de Troie semblent extrêmement réactifs. Chaque nouvelle version que nous analysons apporte quelques nouveautés. Nous suspectons aussi qu’ils développent au moins deux variantes en parallèle. Il est intéressant de noter que techniquement, ils utilisent une application très spécifique d’injection de code à des fins d’offuscation (binary padding) qui complique la suppression de ce remplissage en gardant le fichier valide. »
Contrairement à la plupart des chevaux de Troie latino-américains, Grandoreiro utilise des chaînes de distribution relativement courtes. Le type de téléchargeur varie selon les campagnes. Ces téléchargeurs sont souvent stockés sur des plateformes publiques connues de partage en ligne comme GitHub, Dropbox, Pastebin, 4shared ou 4Sync.
Représentations possibles des chaînes de distribution de Grandoreiro
Pour obtenir des informations techniques sur Grandoreiro, reportez-vous à l’article « Grandoreiro: How engorged can an EXE get? » sur WeLiveSecurity.com. Suivez ESET research sur Twitter pour connaître l’actualité des chercheurs d’ESET.
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.