La cybercriminalité en Amérique latine: collaboration entre les attaquants | WeLiveSecurity

La cybercriminalité en Amérique latine: collaboration entre les attaquants

Les chercheurs d'ESET analysent les signes d'une coopération étroite entre les auteurs de chevaux de Troie bancaires d'Amérique latine.

Les chercheurs d’ESET analysent les signes d’une coopération étroite entre les auteurs de chevaux de Troie bancaires d’Amérique latine.

ESET a publié un white paper détaillant ses conclusions sur l’interconnectivité entre les familles de chevaux de Troie bancaires d’Amérique latine. Le White paper a également été publié par Virus Bulletin.

Pendant longtemps, les chevaux de Troie bancaires latino-américains ont été considérés comme un groupe de logiciels malveillants. Les chercheurs de l’ESET ont découvert que ce n’était pas le cas et que, malgré tant de points communs, de multiples familles distinctes de logiciels malveillants pouvaient être reconnues parmi ces chevaux de Troie bancaires. Au cours de l’année dernière, nous avons publié une série de blogs sur les familles de chevaux de Troie bancaires latino-américains. Ces blogs se concentrent principalement sur les aspects les plus importants et les plus intéressants de ces familles. Jusqu’à présent, nous avons démasqué AmavaldoCasbaneiroMispaduGuildmaGrandoreiro et Mekotio dans cette série. Dans les pièces à venir, nous continuerons avec Krachulka, Lokorrito, Numando, Vadokrist et Zumanek.

Dans ce white paper, nous examinons ces familles dans une perspective de haut niveau. Plutôt que d’examiner les détails de chaque famille et de mettre en évidence leurs caractéristiques uniques, nous nous concentrons sur ce qu’elles ont en commun. Si vous avez suivi notre série sur les chevaux de Troie bancaire d’Amérique latine, vous avez peut-être remarqué certaines similitudes entre plusieurs familles de notre série, comme l’utilisation du même algorithme peu commun pour crypter des chaînes de caractères ou des DGA suspectes similaires pour obtenir des adresses de serveurs C&C.

Les premières similitudes que nous avons repérées concernent la mise en œuvre effective de ces chevaux de Troie bancaires. La plus évidente est la mise en œuvre pratiquement identique des noyaux de ces chevaux de Troie bancaires : envoi d’une notification à l’opérateur, balayage périodique des fenêtres actives sur la base du nom ou du titre, et attaque via de fausses fenêtres pop-up conçues avec soin pour tenter de soutirer des informations sensibles aux victimes. En outre, ces familles de logiciels malveillants partagent des bibliothèques tierces peu communes, des algorithmes de cryptage de chaînes et des techniques d’obscurcissement de chaînes et de binaires.

Cependant, les similitudes ne s’arrêtent pas là. En analysant les chaînes de distribution de ces familles de logiciels malveillants, nous avons réalisé qu’elles partagent également la même logique de base – elles vérifient généralement la présence d’un marqueur (un objet, tel qu’une valeur de clé de fichier ou de registre utilisée pour indiquer que la machine a déjà été compromise), et téléchargent des données dans des archives ZIP. En outre, nous avons observé que des chaînes de distribution identiques finissaient par distribuer de multiples chevaux de Troie bancaires latino-américains. Il convient également de mentionner que depuis 2019, la grande majorité de ces familles de logiciels malveillants ont commencé à utiliser Windows Installer (fichiers MSI) comme première étape de la chaîne de distribution.

Les chevaux de Troie bancaires latino-américains partagent également des méthodes d’exécution. Ils ont tendance à apporter leurs propres outils regroupés dans les archives ZIP susmentionnées. Les deux méthodes les plus courantes sont le chargement latéral de DLL et l’utilisation abusive d’un interprète AutoIt légitime. En outre, lorsqu’ils utilisent la première méthode, plusieurs familles abusent des mêmes applications vulnérables à cette fin (communément appelé Apportez vos logiciels malveillants vulnérables).

On parle de cheval de Troie bancaire latino-américain, simplement parce que ces chevaux de Troie bancaires ciblent généralement l’Amérique latine. Cependant, depuis la fin de l’année 2019, nous voyons plusieurs d’entre eux ajouter l’Espagne et le Portugal à la liste des pays qu’ils ciblent. En outre, différentes familles utilisent des modèles de spam similaires dans leurs dernières campagnes, presque comme s’il s’agissait d’une action coordonnée.

Compte tenu de tant de similitudes, on pourrait s’attendre à ce que les fausses fenêtres contextuelles que ces chevaux de Troie bancaires utilisent soient également partagées. En fait, il semble que ce soit le contraire. Même si les fenêtres se ressemblent (puisqu’elles sont conçues pour tromper les clients des mêmes institutions financières), nous n’avons pas repéré de multiples familles utilisant des fenêtres identiques.

Comme nous ne pensons pas qu’il soit possible que des auteurs de logiciels malveillants indépendants proposent autant d’idées communes et que nous ne pensons pas non plus qu’un groupe soit responsable de la maintenance de toutes ces familles de logiciels malveillants, nous concluons qu’il s’agit de multiples acteurs de la menace qui coopèrent étroitement les uns avec les autres. Vous pouvez trouver des informations détaillées sur les similitudes que nous avons brièvement présentées ici, dans le white paper.

Techniques MITRE ATT&CK

Dans le tableau ci-dessous, qui est un agrégat des techniques basées sur le tableau standard MITRE ATT&CK, nous illustrons de nombreuses caractéristiques que partagent les chevaux de Troie bancaires latino-américains. Il ne s’agit pas d’une liste exhaustive, mais plutôt d’une liste qui met l’accent sur les similitudes. Voici les principales ressemblances entre ces chevaux de Troie :

  • L’hameçonnage est le vecteur d’attaque le plus courant
  • Ils s’appuient fortement sur les langages de script, principalement VBScript
  • La clé d’exécution du registre ou le dossier de démarrage sont les méthodes de persistance les plus courantes
  • Ils obscurcissent tous d’une manière ou d’une autre les données utiles ou les données de configuration
  • Ils sont très favorables au chargement latéral de la DLL
  • Pour voler des informations d’identification, ils ont tendance à utiliser de fausses fenêtres pop-up ou des enregistreurs de frappe
  • Ils consacrent des efforts considérables à la collecte de captures d’écran et à la recherche de logiciels de sécurité
  • Les algorithmes de chiffrement personnalisés sont préférés aux algorithmes établis
  • Ils n’exfiltrent pas toutes les données récoltées vers le serveur C&C, mais utilisent également des emplacements différents.

Note : Ce tableau a été construit en utilisant la version 7 de MITRE ATT&CK.

TacticIDNameAmavaldoCasbaneiroGrandoreiroGuildmaKrachulkaLokorritoMekotioMispaduNumandoVadokristZumanek
Initial AccessT1566.001Phishing: Spearphishing Attachment
T1566.002Phishing: Spearphishing Link
ExecutionT1059.005Command and Scripting Interpreter: Visual Basic
T1059.007Command and Scripting Interpreter: JavaScript/JScript
T1059.003Command and Scripting Interpreter: Windows Command Shell
T1059.001Command and Scripting Interpreter: PowerShell
T1047Windows Management Instrumentation
T1059Command and Scripting Interpreter
PersistenceT1547.001Boot or Logon Autostart execution: Registry Run Keys / Startup Folder
T1053.005Scheduled Task/Job: Scheduled Task
Defense EvasionT1140Deobfuscate/Decode Files or Information
T1574.002Hijack Execution Flow: DLL Side-Loading
T1497.001Virtualization/Sandbox Evasion: System Checks
T1218.007Signed Binary Proxy Execution: Msiexec
T1036.005Masquerading: Match Legitimate Name or Location
T1197BITS Jobs
T1112Modify Registry
T1218.011Signed Binary Proxy Execution: Rundll32
T1027.001Obfuscated Files or Information: Binary Padding
T1220XSL Script Processing
Credential AccessT1056.002Input Capture: GUI Input Capture
T1056.001Input Capture: Keylogging
T1555.003Credentials from Password Stores: Credentials from Web Browsers
T1552.001Unsecured Credentials: Credentials In Files
DiscoveryT1010Application Window Discovery
T1518.001Software Discovery: Security Software Discovery
T1082System Information Discovery
T1083File and Directory Discovery
T1057Process Discovery
CollectionT1113Screen Capture
T1115Clipboard Data
Command and ControlT1132.002Data Encoding: Non-Standard Encoding
T1571Non-Standard Port
T1132.001Data Encoding: Standard Encoding
T1568.002Dynamic Resolution: Domain Generation Algorithms
T1568.003Dynamic Resolution: DNS Calculation
ExfiltrationT1048Exfiltration Over Alternative Protocol
T1041Exfiltration Over C2 Channel

Comme vous pouvez le constater, les chevaux de Troie bancaires latino-américains, bien qu’ils présentent des différences, ont de nombreux points communs essentiels.

Infolettre

Discussion