Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET analyse Grandoreiro, un cheval de Troie qui exploite la pandémie du coronavirus

avril 2020 par ESET

Dans le cadre de notre série sur les chevaux de Troie bancaires en Amérique latine, les chercheurs d’ESET ont disséqué Grandoreiro. Ce cheval de Troie qui cible surtout des utilisateurs au Brésil, au Mexique, en Espagne et au Pérou est diffusé presque exclusivement par email. Il utilise depuis peu de faux sites web qui exploitent le thème de la pandémie de coronavirus. Cette évolution témoigne des efforts constants des auteurs de Grandoreiro pour échapper à toute détection.

Si Grandoreiro s’est surtout diffusé par des emails non sollicités prétextant une mise à jour Java ou Flash, ESET a récemment observé un basculement vers des escroqueries liées au COVID19. Le cheval de Troie était dissimulé dans des fausses vidéos sites illégitimes d’informations sur le coronavirus. Quand l’internaute clique sur la vidéo, au lieu de la visionner, il lance le téléchargement d’une charge utile sur ses appareils.

Grandoreiro, actif depuis au moins 2017 au Brésil et au Pérou, s’est répandu en 2019 au Mexique et en Espagne. Comme pour les autres chevaux de Troie bancaires latino-américains dans cette série, Grandoreiro affiche des fenêtres contextuelles trompeuses pour amener ses victimes à divulguer des informations sensibles.

Carte d’activité de Grandoreiro d’après les détections d’ESET

Dans sa fonctionnalité de porte dérobée, Grandoreiro inclut la manipulation de fenêtres ; sa propre mise à jour ; l’enregistrement de frappes ; l’émulation de la souris et du clavier ; la redirection de navigateurs vers des URL définies ; la déconnexion et le redémarrage de la machine ; et le blocage de l’accès à des sites web. Grandoreiro collecte différentes informations sur les machines infectées et, selon les versions, vole les identifiants stockés dans le navigateur Google Chrome et Microsoft Outlook.

« Pour un cheval de Troie bancaire latino-américain, Grandoreiro utilise un nombre surprenant de tactiques pour éviter la détection, y compris par émulation. Il inclut notamment de nombreuses techniques de détection et même de désactivation des logiciels de protection bancaire, explique Robert Šuman, chercheur d’ESET à la tête de l’équipe d’analyse de Grandoreiro. Les créateurs de ce cheval de Troie semblent extrêmement réactifs. Chaque nouvelle version que nous analysons apporte quelques nouveautés. Nous suspectons aussi qu’ils développent au moins deux variantes en parallèle. Il est intéressant de noter que techniquement, ils utilisent une application très spécifique d’injection de code à des fins d’offuscation (binary padding) qui complique la suppression de ce remplissage en gardant le fichier valide. »

Contrairement à la plupart des chevaux de Troie latino-américains, Grandoreiro utilise des chaînes de distribution relativement courtes. Le type de téléchargeur varie selon les campagnes. Ces téléchargeurs sont souvent stockés sur des plateformes publiques connues de partage en ligne comme GitHub, Dropbox, Pastebin, 4shared ou 4Sync.

Représentations possibles des chaînes de distribution de Grandoreiro

Pour obtenir des informations techniques sur Grandoreiro, reportez-vous à l’article « Grandoreiro : How engorged can an EXE get ? » sur WeLiveSecurity.com. Suivez ESET research sur Twitter pour connaître l’actualité des chercheurs d’ESET.


Voir les articles précédents

    

Voir les articles suivants