{"id":323619,"date":"2022-08-20T18:33:25","date_gmt":"2022-08-20T20:33:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouvelle-campagne-grandoreiro-banking-malware-ciblant-les-fabricants-espagnols\/"},"modified":"2022-08-20T18:33:26","modified_gmt":"2022-08-20T20:33:26","slug":"nouvelle-campagne-grandoreiro-banking-malware-ciblant-les-fabricants-espagnols","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouvelle-campagne-grandoreiro-banking-malware-ciblant-les-fabricants-espagnols\/","title":{"rendered":"Nouvelle campagne Grandoreiro Banking Malware ciblant les fabricants espagnols"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les organisations des pays hispanophones du Mexique et de l&#8217;Espagne sont dans le collimateur d&#8217;une nouvelle campagne con\u00e7ue pour offrir le <strong>Grandoreiro<\/strong> cheval de Troie bancaire. <\/p>\n<p>&#8220;Dans cette campagne, les acteurs de la menace se font passer pour des repr\u00e9sentants du gouvernement du bureau du procureur g\u00e9n\u00e9ral de Mexico et du minist\u00e8re public sous la forme d&#8217;e-mails de harponnage afin d&#8217;inciter les victimes \u00e0 t\u00e9l\u00e9charger et \u00e0 ex\u00e9cuter &#8220;Grandoreiro&#8221;, un cheval de Troie bancaire prolifique qui est actif depuis au moins 2016, et qui cible sp\u00e9cifiquement les utilisateurs d&#8217;Am\u00e9rique latine&#8221;, Zscaler <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/grandoreiro-banking-trojan-new-ttps-targeting-various-industry-verticals\" target=\"_blank\">a dit<\/a> dans un rapport.<\/p>\n<p>Il a \u00e9t\u00e9 observ\u00e9 que les attaques en cours, qui ont d\u00e9but\u00e9 en juin 2022, ciblent les secteurs de l&#8217;automobile, de la construction civile et industrielle, de la logistique et des machines via de multiples cha\u00eenes d&#8217;infection au Mexique et les industries de fabrication de produits chimiques en Espagne.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Les cha\u00eenes d&#8217;attaque impliquent l&#8217;utilisation d&#8217;e-mails de harponnage \u00e9crits en espagnol pour inciter les victimes potentielles \u00e0 cliquer sur un lien int\u00e9gr\u00e9 qui r\u00e9cup\u00e8re une archive ZIP, \u00e0 partir de laquelle est extrait un chargeur qui se fait passer pour un document PDF pour d\u00e9clencher l&#8217;ex\u00e9cution.<\/p>\n<p>Les messages de phishing int\u00e8grent en \u00e9vidence des th\u00e8mes li\u00e9s aux remboursements de paiements, aux notifications de litiges, \u00e0 l&#8217;annulation de pr\u00eats hypoth\u00e9caires et aux bons de d\u00e9p\u00f4t, pour activer les infections.<\/p>\n<p>&#8220;Cette [loader] est responsable du t\u00e9l\u00e9chargement, de l&#8217;extraction et de l&#8217;ex\u00e9cution de la charge utile \u00ab\u00a0Grandoreiro\u00a0\u00bb finale de 400\u00a0Mo \u00e0 partir d&#8217;un serveur HFS distant qui communique ensuite avec le [command-and-control] Serveur utilisant le trafic <a rel=\"nofollow noopener\" href=\"https:\/\/seguranca-informatica.pt\/the-updated-grandoreiro-malware-equipped-with-latenbot-c2-features-in-q2-2020-now-extended-to-portuguese-banks\/\" target=\"_blank\">identique<\/a> \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.latentbot\" target=\"_blank\">LatentBot<\/a>&#8220;, a d\u00e9clar\u00e9 le chercheur de Zscaler Niraj Shivtarkar.<\/p>\n<p>Ce n&#8217;est pas tout.  Le chargeur est \u00e9galement con\u00e7u pour collecter des informations syst\u00e8me, r\u00e9cup\u00e9rer une liste des solutions antivirus install\u00e9es, des portefeuilles de crypto-monnaie, des applications bancaires et de messagerie, et exfiltrer les informations vers un serveur distant.<\/p>\n<p>Observ\u00e9 dans la nature depuis au moins six ans, Grandoreiro est une porte d\u00e9rob\u00e9e modulaire dot\u00e9e d&#8217;un \u00e9ventail de fonctionnalit\u00e9s lui permettant d&#8217;enregistrer des frappes au clavier, d&#8217;ex\u00e9cuter des commandes arbitraires, d&#8217;imiter les mouvements de la souris et du clavier, de restreindre l&#8217;acc\u00e8s \u00e0 des sites Web sp\u00e9cifiques, de se mettre \u00e0 jour automatiquement et d&#8217;\u00e9tablir persistance via une modification du registre Windows.<\/p>\n<p>De plus, le malware est \u00e9crit en Delphi et utilise des techniques telles que le remplissage binaire pour gonfler la taille binaire de 200 Mo, l&#8217;impl\u00e9mentation CAPTCHA pour l&#8217;\u00e9vasion du bac \u00e0 sable et la communication C2 utilisant des sous-domaines g\u00e9n\u00e9r\u00e9s via un algorithme de g\u00e9n\u00e9ration de domaine (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Domain_generation_algorithm\" target=\"_blank\">DGA<\/a>).<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/ankit_anubhav\/status\/1555521068734902272\" target=\"_blank\">Technique CAPTCHA<\/a>en particulier, n\u00e9cessite l&#8217;ex\u00e9cution manuelle du test de d\u00e9fi-r\u00e9ponse pour ex\u00e9cuter le logiciel malveillant sur la machine compromise, ce qui signifie que l&#8217;implant n&#8217;est pas ex\u00e9cut\u00e9 tant que le CAPTCHA n&#8217;est pas r\u00e9solu par la victime.<\/p>\n<p>Les r\u00e9sultats sugg\u00e8rent que Grandoreiro \u00e9volue en permanence vers un malware sophistiqu\u00e9 dot\u00e9 de nouvelles caract\u00e9ristiques anti-analyse, offrant aux attaquants des capacit\u00e9s d&#8217;acc\u00e8s \u00e0 distance compl\u00e8tes et posant des menaces importantes pour les employ\u00e9s et leurs organisations.<\/p>\n<p>Le d\u00e9veloppement intervient \u00e9galement un peu plus d&#8217;un an apr\u00e8s que les forces de l&#8217;ordre espagnoles ont appr\u00e9hend\u00e9 16 individus appartenant \u00e0 un r\u00e9seau criminel en lien avec l&#8217;exploitation de Mekotio et Grandoreiro en juillet 2021.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/new-grandoreiro-banking-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les organisations des pays hispanophones du Mexique et de l&#8217;Espagne sont dans le collimateur d&#8217;une nouvelle campagne con\u00e7ue pour offrir le Grandoreiro cheval de Troie bancaire. &#8220;Dans cette campagne, les acteurs de la menace se font passer pour des repr\u00e9sentants du gouvernement du bureau du procureur g\u00e9n\u00e9ral de Mexico et du minist\u00e8re public sous la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":323620,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[14164,2930,4175,4168,4158,4165,4161,5098,12287,101850,4157,4159,4171,4170,65,4167,4174,4160,197,4163,4162,4172,4169,4166,4164],"class_list":["post-323619","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-banking","tag-campagne","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-espagnols","tag-fabricants","tag-grandoreiro","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-malware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/323619","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=323619"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/323619\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/323620"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=323619"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=323619"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=323619"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}