Mardi, des chercheurs en cybersécurité ont détaillé jusqu’à quatre familles différentes de chevaux de Troie bancaires brésiliens qui ont ciblé des institutions financières au Brésil, en Amérique latine et en Europe.
Appelées collectivement « Tetrade » par les chercheurs de Kaspersky, les familles de malwares – comprenant Guildma, Javali, Melcoz et Grandoreiro – ont développé leurs capacités à fonctionner comme une porte dérobée et à adopter une variété de techniques d’obscurcissement pour cacher ses activités malveillantes aux logiciels de sécurité.
« Guildma, Javali, Melcoz et Grandoreiro sont des exemples d’un autre groupe / opération bancaire brésilien qui a décidé d’étendre ses attaques à l’étranger, ciblant des banques dans d’autres pays », a déclaré Kaspersky dans un communiqué. une analyse.
« Ils profitent du fait que de nombreuses banques opérant au Brésil ont également des opérations ailleurs en Amérique latine et en Europe, ce qui permet d’étendre facilement leurs attaques contre les clients de ces institutions financières. »
Un processus de déploiement de logiciels malveillants en plusieurs étapes
Guildma et Javali utilisent un processus de déploiement de logiciels malveillants en plusieurs étapes, utilisant des e-mails de phishing comme mécanisme pour distribuer les charges utiles initiales.
Kaspersky a constaté que Guildma a non seulement ajouté de nouvelles fonctionnalités et de la furtivité à ses campagnes depuis son origine en 2015, mais qu’il s’est également étendu à de nouvelles cibles au-delà du Brésil pour attaquer les utilisateurs bancaires en Amérique latine.
Une nouvelle version du malware, par exemple, utilise des pièces jointes compressées (par exemple, .VBS, .LNK) comme vecteur d’attaque pour masquer les charges utiles malveillantes ou un fichier HTML qui exécute un morceau de code JavaScript pour télécharger le fichier et récupérer d’autres modules utilisant un outil de ligne de commande légitime comme BITSAdmin.
En plus de cela, il profite de Flux de données alternatifs NTFS pour masquer la présence des charges utiles téléchargées dans les systèmes cibles et les leviers Détournement de commande de recherche de DLL pour lancer les binaires malveillants, en ne poursuivant que si l’environnement est exempt d’outils de débogage et de virtualisation.
« Afin d’exécuter les modules supplémentaires, le logiciel malveillant utilise la technique d’évidement des processus pour masquer la charge utile malveillante à l’intérieur d’un processus sur liste blanche, tel que svchost.exe », a déclaré Kaspersky. Ces modules sont téléchargés à partir d’un serveur contrôlé par un attaquant, dont les informations sont stockées dans les pages Facebook et YouTube dans un format crypté.
Une fois installée, la charge utile finale surveille les sites Web bancaires spécifiques, ce qui, une fois ouvert, déclenche une cascade d’opérations qui permettent aux cybercriminels d’effectuer toute transaction financière en utilisant l’ordinateur de la victime.
Javali (actif depuis novembre 2017), de même, télécharge des charges utiles envoyées par e-mails pour récupérer un malware de dernière étape à partir d’un C2 distant qui est capable de voler des informations financières et de connexion d’utilisateurs au Brésil et au Mexique qui visitent des sites Web de crypto-monnaie (Bittrex) ou de paiement (Mercado Pago).
Vol de mots de passe et de portefeuilles Bitcoin
Melcoz, une variante du PC d’accès à distance RAT open-source, a été lié à une série d’attaques au Chili et au Mexique depuis 2018, le malware ayant la capacité de voler les mots de passe du presse-papiers, des navigateurs et des portefeuilles Bitcoin en remplaçant le portefeuille d’origine. informations avec une alternative douteuse détenue par les adversaires.
Il utilise des scripts VBS dans les fichiers de package d’installation (.MSI) pour télécharger le logiciel malveillant sur le système et abuse ensuite de l’interpréteur AutoIt et du service NAT VMware pour charger la DLL malveillante sur le système cible.
« Le malware permet à l’attaquant d’afficher une fenêtre de superposition devant le navigateur de la victime pour manipuler la session de l’utilisateur en arrière-plan », ont déclaré les chercheurs. « De cette façon, la transaction frauduleuse est effectuée à partir de la machine de la victime, ce qui rend plus difficile la détection de solutions anti-fraude de la part de la banque. »
En outre, un acteur de la menace peut également demander des informations spécifiques qui sont demandées lors d’une transaction bancaire, comme un mot de passe à usage unique, contournant ainsi l’authentification à deux facteurs.
Enfin, Grandoreiro fait l’objet d’une campagne diffusée au Brésil, au Mexique, au Portugal et en Espagne depuis 2016, permettant aux attaquants d’effectuer des transactions bancaires frauduleuses en utilisant les ordinateurs des victimes pour contourner les mesures de sécurité utilisées par les banques.
Le malware lui-même est hébergé sur les pages Google Sites et livré via des sites Web compromis et Google Ads ou des méthodes de spear-phishing, en plus d’utiliser Algorithme de génération de domaine (DGA) pour avoir masqué l’adresse C2 utilisée lors de l’attaque.
« Les escrocs brésiliens créent rapidement un écosystème d’affiliés, recrutent des cybercriminels avec qui travailler dans d’autres pays, adoptent le MaaS (malware-as-a-service) et ajoutent rapidement de nouvelles techniques à leur malware afin de le maintenir pertinent et financièrement attractif pour leurs partenaires « , a conclu Kaspersky.
« En tant que menace, ces familles de chevaux de Troie bancaires tentent d’innover en utilisant la DGA, des charges utiles chiffrées, le creusage de processus, le détournement de DLL, de nombreux LoLBins, des infections sans fichier et d’autres astuces comme moyen d’entraver l’analyse et la détection. Nous pensons que ces menaces évoluer pour cibler plus de banques dans plus de pays. «
