Malgré l'arrestation de certains de ses principaux administrateurs au début de l'année 2024, le cheval de Troie bancaire Grandoreiro continue d'être utilisé par ses partenaires dans de nouvelles campagnes. Les chercheurs du GReAT (Global Research and Analysis Team) de Kaspersky ont découvert une nouvelle version allégée du malware, ciblant des entités situées au Mexique, dont une trentaine de banques. Ces résultats seront présentés lors du Security Analyst Summit (SAS) 2024. Grandoreiro, qui reste l'une des menaces les plus actives à l’échelle mondiale, représente environ 5 % des attaques de chevaux de Troie bancaires, soit les utilisateurs de plus de 1 700 banques, cette année. Le Mexique est l'un des pays les plus ciblés par les différentes versions de Grandoreiro, y compris cette nouvelle version allégée, avec 51 000 incidents enregistrés cette année.
Après avoir participé à une action coordonnée par INTERPOL, qui a conduit les autorités brésiliennes à arrêter les administrateurs informatiques se trouvant derrière le cheval de Troie bancaire Grandoreiro, Kaspersky a découvert que la base de code du groupe avait été divisée en plusieurs versions allégées et fragmentées du cheval de Troie, afin de poursuivre ses attaques. Une analyse récente a permis d'identifier une version légère spécifique ciblant principalement le Mexique, qui a été utilisée pour viser une trentaine d'institutions financières. Les créateurs ont probablement accès au code source et lancent de nouvelles campagnes en utilisant des versions simplifiées d’anciens logiciels malveillants.
« Tous les événements récents soulignent la nature évolutive de la menace. Les versions fragmentées et allégées représentent une tendance qui pourrait s'étendre au-delà du Mexique, voire au-delà de l'Amérique du Sud. Cependant, nous pensons que seuls certains acteurs affiliés de confiance ont accès au code source des logiciels malveillants pour développer de telles versions allégées. Grandoreiro fonctionne différemment du modèle traditionnel « Malware-as-a-Service » auquel nous sommes habitués. On ne trouve pas d'annonces vendant le package Grandoreiro sur les forums clandestins ; au contraire, l'accès à ce package semble être limité », explique Fabio Assolini, responsable de l'Amérique du Sud (GReAT) chez Kaspersky.
De multiples variantes de Grandoreiro, y compris la nouvelle version simplifiée et le logiciel malveillant original, ont été à l'origine d'environ 5 % des attaques de chevaux de Troie bancaires détectées par Kaspersky en 2024, ce qui en fait l'une des menaces les plus importantes à l'échelle mondiale. Kaspersky a également analysé les nouveaux échantillons du Grandoreiro initialement déployé en 2024 et a observé de nouvelles tactiques. Le malware enregistre l'activité de la souris afin d'imiter les habitudes des utilisateurs réels, dans le but d'échapper à la surveillance des systèmes de sécurité basés sur l'apprentissage automatique qui analysent le comportement des utilisateurs. En reproduisant les mouvements naturels de la souris, le logiciel malveillant cherche à tromper les outils anti-fraude en leur faisant croire que l'activité est légitime.
En outre, Grandoreiro a adopté une technique cryptographique connue sous le nom de Ciphertext Stealing (CTS), que Kaspersky n'a encore jamais rencontrée dans les malwares analysés. Dans ce cas, l'objectif est de crypter les chaînes de code malveillant. « Grandoreiro a une structure vaste et complexe, ce qui faciliterait la détection par les outils de sécurité ou les analystes si ses chaînes n'étaient pas cryptées. C'est probablement la raison pour laquelle ils ont introduit cette nouvelle technique, afin de compliquer la détection et l'analyse de leurs attaques », explique Fabio Assolini.
Les données recueillies par Kaspersky indiquent que Grandoreiro est actif depuis 2016. En 2024, le cheval de Troie a pris pour cible plus de 1 500 institutions financières et 276 portefeuilles de crypto-monnaies dans 45 pays et territoires, faisant des victimes jusqu’en Asie et en Afrique, asseyant ainsi sa position de menace financière à l’international.
Plus d'informations sur Securelist. L'analyse complète de Grandoreiro sera présentée par le GReAT lors du seizième Security Analyst Summit (SAS) de Kaspersky, qui se tiendra du 22 au 25 octobre 2024 à Bali.
