Les organisations des pays hispanophones du Mexique et de l’Espagne sont dans le collimateur d’une nouvelle campagne conçue pour offrir le Grandoreiro cheval de Troie bancaire.
« Dans cette campagne, les acteurs de la menace se font passer pour des représentants du gouvernement du bureau du procureur général de Mexico et du ministère public sous la forme d’e-mails de harponnage afin d’inciter les victimes à télécharger et à exécuter « Grandoreiro », un cheval de Troie bancaire prolifique qui est actif depuis au moins 2016, et qui cible spécifiquement les utilisateurs d’Amérique latine », Zscaler a dit dans un rapport.
Il a été observé que les attaques en cours, qui ont débuté en juin 2022, ciblent les secteurs de l’automobile, de la construction civile et industrielle, de la logistique et des machines via de multiples chaînes d’infection au Mexique et les industries de fabrication de produits chimiques en Espagne.
Les chaînes d’attaque impliquent l’utilisation d’e-mails de harponnage écrits en espagnol pour inciter les victimes potentielles à cliquer sur un lien intégré qui récupère une archive ZIP, à partir de laquelle est extrait un chargeur qui se fait passer pour un document PDF pour déclencher l’exécution.
Les messages de phishing intègrent en évidence des thèmes liés aux remboursements de paiements, aux notifications de litiges, à l’annulation de prêts hypothécaires et aux bons de dépôt, pour activer les infections.
« Cette [loader] est responsable du téléchargement, de l’extraction et de l’exécution de la charge utile « Grandoreiro » finale de 400 Mo à partir d’un serveur HFS distant qui communique ensuite avec le [command-and-control] Serveur utilisant le trafic identique à LatentBot« , a déclaré le chercheur de Zscaler Niraj Shivtarkar.
Ce n’est pas tout. Le chargeur est également conçu pour collecter des informations système, récupérer une liste des solutions antivirus installées, des portefeuilles de crypto-monnaie, des applications bancaires et de messagerie, et exfiltrer les informations vers un serveur distant.
Observé dans la nature depuis au moins six ans, Grandoreiro est une porte dérobée modulaire dotée d’un éventail de fonctionnalités lui permettant d’enregistrer des frappes au clavier, d’exécuter des commandes arbitraires, d’imiter les mouvements de la souris et du clavier, de restreindre l’accès à des sites Web spécifiques, de se mettre à jour automatiquement et d’établir persistance via une modification du registre Windows.
De plus, le malware est écrit en Delphi et utilise des techniques telles que le remplissage binaire pour gonfler la taille binaire de 200 Mo, l’implémentation CAPTCHA pour l’évasion du bac à sable et la communication C2 utilisant des sous-domaines générés via un algorithme de génération de domaine (DGA).
La Technique CAPTCHAen particulier, nécessite l’exécution manuelle du test de défi-réponse pour exécuter le logiciel malveillant sur la machine compromise, ce qui signifie que l’implant n’est pas exécuté tant que le CAPTCHA n’est pas résolu par la victime.
Les résultats suggèrent que Grandoreiro évolue en permanence vers un malware sophistiqué doté de nouvelles caractéristiques anti-analyse, offrant aux attaquants des capacités d’accès à distance complètes et posant des menaces importantes pour les employés et leurs organisations.
Le développement intervient également un peu plus d’un an après que les forces de l’ordre espagnoles ont appréhendé 16 individus appartenant à un réseau criminel en lien avec l’exploitation de Mekotio et Grandoreiro en juillet 2021.