Les Tétrades brésiliens ciblent les institutions financières du monde entier

Récemment, des chercheurs en cybersécurité ont détecté quatre familles différentes de chevaux de Troie bancaires brésiliens – à savoir Guildma, Javali, Melcoz et Grandoreiro – qui ciblent une institution financière du Brésil, d’Amérique latine et d’Europe. Kespersky dit que, comme de nombreuses banques basées au Brésil opèrent également en Amérique latine et en Europe, les escrocs semblent opportun d’élargir leurs attaques contre les clients de ces institutions financières.

Ces virus ont évolué en tant que porte dérobée comme les logiciels malveillants Tetrade. Diverses méthodes trompeuses sont adoptées pour éviter que leurs comportements destructeurs ne soient détectés par les outils de protection. Les charges utiles pour Guildma et Javaeli sont diffusées via des e-mails de phishing. Une pièce jointe d’e-mail compressée ou un fichier HTML exécutant du code JavaScript lance le processus d’injection de charge utile vers les cibles. En outre, l’emplacement de la charge utile téléchargée est masqué par NTFS Alternate Data Streams.

Les chercheurs révèlent que Tetrad télécharge des modules supplémentaires à partir d’un serveur exploité par des pirates dans un format crypté et placé sur Facebook et Youtube. Pour exécuter ces modules, il utilise un processus trompeur pour cacher la charge utile nuisible avec certains processus qui sont sur la liste blanche, tels que suchost.exe. Après l’installation, le malware surveille les sites Web spécifiques de la banque – lorsque les utilisateurs de ces sites, il lance une cascade d’opérations qui permettent aux escrocs d’effectuer des transactions frauduleuses via leur appareil.

Malcoz, d’autre part, utilise des scripts VBS dans les fichiers du package d’installation pour télécharger la charge malveillante sur l’ordinateur. Après l’installation, il abuse de l’interpréteur Autolt et du service VMware Nat pour charger une DLL nuisible. Il vole les mots de passe des navigateurs du presse-papiers et également des portefeuilles bitcoin en remplaçant les détails du portefeuille d’origine. Les chercheurs expliquent cela car le malware affiche une fenêtre de superposition sur les navigateurs pour manipuler la session qui autorise les transactions frauduleuses.

Grandoreiro est le dernier malware détecté par Tetrade. Il aide les assaillants à effectuer des transferts financiers illégaux en utilisant les victimes pour prendre certaines mesures de sécurité contournées par les banques. Cette campagne d’escroquerie est active depuis 2016 dans diverses régions du Brésil, du Mexique, du Portugal et de l’Espagne.

Kaspersky conclut que les escrocs brésiliens construisent rapidement un réseau d’affiliation – ils embauchent des cybercriminels pour opérer dans d’autres pays, adoptent les logiciels malveillants en tant que service et appliquent de nouvelles tactiques à leurs logiciels malveillants pour rendre les clients financiers attractifs. En outre, ils utilisent diverses techniques d’arsenal telles que l’utilisation de DGA, le détournement de DLL, les charges utiles chiffrées et d’autres astuces pour contourner les outils de sécurité.