Début 2024, Interpol a orchestré une vaste offensive à l’encontre des cybercriminels derrière Grandoreiro, un redoutable cheval de Troie bancaire. Le malware, conçu pour siphonner le compte en banque de ses victimes, se propage essentiellement par le biais de mails malveillants usurpant l’identité d’organisations officielles. Quelques semaines plus tard, Interpol a annoncé l’arrestation de cinq pirates, soupçonnés d’avoir organisé des cyberattaques à l’aide de Grandoreiro, au Brésil. En parallèle, treize perquisitions ont eu lieu à travers le pays.
A lire aussi : Ebury, le redoutable botnet qui a piraté 400 000 serveurs Linux en 15 ans
Grandoreiro renaît de ses cendres
Malgré ce coup de filet d’ampleur, le malware n’est pas mort. Les chercheurs en sécurité informatique d’IBM ont constaté une résurgence des cyberattaques liées à Grandoreiro depuis mars 2024. Dans un rapport, IBM indique avoir enquêté sur « plusieurs campagnes d’hameçonnage à grande échelle » impliquant le malware.
Il semble que des cybercriminels continuent d’exploiter le virus dans le cadre d’attaques de phishing, en dépit de l’intervention d’Interpol. Comme l’indique IBM, le cheval de Troie est « probablement exploité comme un Malware-as-a-Service (MaaS) ». En clair, des pirates louent le malware dans le cadre d’un abonnement. Les attaques recensées par IBM visent désormais davantage de pays, en Europe notamment. Initialement, Grandoreiro se concentrait plutôt les pays hispanophones et l’Amérique du Sud.
Avec cette nouvelle vague d’attaques, le logiciel malveillant opère un retour en force avec « des mises à jour majeures », poursuit IBM. En l’espace de quelques mois, le virus a considérablement évolué. Les cybercriminels ont enrichi le malware avec de nouvelles fonctionnalités. Citons par exemple un outil destiné aux cyberattaques à l’encontre des utilisateurs de Microsoft Outlook. Grandoreiro peut dorénavant désactiver les alertes de sécurité de la messagerie. Surtout, il peut se servir de comptes Outlook compromis pour envoyer des emails de phishing à de nouvelles cibles. Par ailleurs, le virus est maintenant en mesure de pirater des portefeuilles contenant des cryptomonnaies. Comme le souligne BleepingComputer, ces ajouts laissent penser que les véritables hackers à l’origine de Grandoreiro n’ont pas été interpellés par les forces de l’ordre.
Plus de 1500 banques dans le viseur des pirates
La nouvelle mouture du maliciel « cible spécifiquement plus de 1 500 applications bancaires et sites Web mondiaux dans plus de 60 pays ». Elle usurpe l’identité d’administrations fiscales ou d’agences fédérales diverses pour endormir la méfiance des internautes.
Les mails affichent les logos officiels de ces entités. Le courriel encourage le destinataire à ouvrir la pièce jointe incluse, prétextant une facture urgente ou des documents à remplir dans les plus brefs délais. Sans surprise, la pièce jointe permet aux cybercriminels d’arriver à leurs fins. Elle contient une image qui incite l’utilisateur à cliquer dessus. La victime va alors provoquer le téléchargement d’un fichier ZIP qui cache un programme exécutable (fichier .exe) d’une taille de 100 Mo. Ce programme est conçu pour télécharger et installer Grandoreiro sur l’ordinateur visé. En dépit des efforts déployés par Interpol, « les distributeurs de Grandoreiro cherchent à mener des campagnes et à fournir des logiciels malveillants à l’échelle mondiale », met en garde IBM.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : IBM
