ESET Research : les chevaux de Troie bancaires latino-américains se sont répandus en Europe au plus fort de leur activité

décembre 2021 par ESET

ESET Research conclut sa série d’articles de blog dédiée aux chevaux de trois bancaires latino-américains, commencée en août 2019, les plus actifs, à savoir Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro, Mekotio, Vadokrist, Ousaban et Numando. Les chevaux de Troie bancaires latino-américains ont en commun beaucoup de caractéristiques et de comportements. Au total, ESET a identifié une douzaine de familles de malwares différentes, dont la plupart restent actives à ce jour. La découverte la plus importante au cours de cette enquête est l’expansion de Mekotio et Grandoreiro en Europe, principalement en Espagne. Les chercheurs d’ESET ont également observé de petites campagnes occasionnelles visant l’Italie, la France et la Belgique. Depuis que les chevaux de Troie bancaires latino-américains se sont étendus à l’Europe, ils font l’objet d’une attention renouvelée de la part des chercheurs et des forces de police. Au cours de ces derniers mois, ESET a découvert leurs plus grandes campagnes.

La télémétrie d’ESET montre une augmentation étonnamment importante de la portée d’Ousaban, de Grandoreiro et de Casbaneiro au cours de ces derniers mois, ce qui permet de conclure que les auteurs de ces familles de malwares sont déterminés à poursuivre leurs actions néfastes dans les pays ciblés.

Les campagnes que nous voyons arrivent toujours par vagues et plus de 90 % d’entre elles sont diffusées par du spam, menant généralement à une archive ZIP ou un programme d’installation MSI. Une campagne dure en moyenne une semaine.

« Le Brésil reste le pays le plus ciblé, suivi de l’Espagne et du Mexique. Depuis 2020, Grandoreiro et Mekotio se sont étendus en Europe, principalement en Espagne. Ce qui n’était au départ que plusieurs campagnes mineures, destinées à tester ce nouveau territoire, s’est transformé en quelque chose de beaucoup plus important. En fait, en août et septembre 2021, Grandoreiro a lancé sa plus grande campagne à ce jour contre l’Espagne, » explique Jakub Souček, chercheur chez ESET, qui dirige l’enquête sur les chevaux de Troie bancaires d’Amérique latine.

En juin de cette année, les forces de police espagnoles ont arrêté 16 personnes liées à Mekotio et Grandoreiro. Dans son rapport, la police déclare que près de 300 000 euros ont été volés, et qu’elle a pu bloquer le transfert d’un total de 3,5 millions d’euros. En corrélant cette arrestation avec l’activité des chevaux de Troie bancaires latino-américains en Espagne, Mekotio semble avoir été beaucoup plus touché que Grandoreiro, ce qui amène ESET à penser que les personnes arrêtées étaient davantage liées à Mekotio. Même si l’activité de Mekotio est restée très faible pendant près de deux mois après l’arrestation, ESET continue de voir de nouvelles campagnes le diffusant.

Les chevaux de Troie bancaires d’Amérique latine évoluent rapidement. Au début de l’étude d’ESET, certains d’entre eux ajoutaient ou modifiaient leurs fonctionnalités de base même plusieurs fois par mois. Aujourd’hui, ils changent encore très souvent, mais leur cœur semble rester le plus souvent inchangé. En raison du développement partiellement stabilisé, nous pensons que les opérateurs se concentrent maintenant sur l’amélioration de la diffusion.

« Beaucoup de conditions doivent être remplies pour que les chevaux de Troie bancaires latino-américains réussissent une attaque, » explique Souček. « Les victimes potentielles doivent suivre les étapes requises pour installer le malware sur leurs machines ; elles doivent se rendre sur un site web ciblé et se connecter à leurs comptes. De l’autre côté, les opérateurs doivent réagir à cette situation en commandant manuellement au malware d’afficher la fausse fenêtre pop-up, et prendre le contrôle de la machine de la victime. »

Au cours de cette série d’études, plusieurs chevaux de Troie bancaires latino-américains sont devenus inactifs, à savoir Krachulka, Lokorrito et Zumanek. Les chercheurs d’ESET ont également découvert Janeleiro, un nouveau cheval de Troie bancaire latino-américain. À l’avenir, ESET s’attend à voir certains de ces chevaux de Troie bancaires s’étendre à la plate-forme Android.