Actualités

Grandoneiro – Un cheval de Troie exploite le Coronavirus !

Un nouveau cheval de Troie continue son ascension en Amérique latine, le Grandoneiro. Ce virus cible principalement des personnes qui vivent au Brésil, Mexique, Espagne et même au Pérou. Il se diffuse dans la plupart des cas par email. Il redirige vers des sites sur le coronavirus, preuve que le Grandoneiro fait tout pour se rendre invisible. Ce virus est arrivé sur internet aux environs de 2017 au Brésil et au Pérou. Celui-ci s’est ensuite répandu par la suite en Espagne et au Mexique en 2019.

ESET a quant à eux découvert une évolution de la propagation de ce virus. Maintenant, Grandoneiro agissit en se dissimulant dans des vidéos menant à divers sites ayant comme sujet le coronavirus. Lorsque la victime clique pour lire la vidéo, un sous-programme envoie une charge utile sur son appareil. Il peut également se propager au travers de chaînes assez courtes et par des plateformes de téléchargement comme Dropbox, 4shared ou même Github.

Grandoneiro

Le Grandoneiro peut être votre pire cauchemar

Le Grandoneiro arrive à acquérir les différentes informations que vous avez sur votre ordinateur ou portable. Selon la version de Grandoneiro peut varier et vole alors les identifiants stockés dans vos navigateurs comme Google chrome par exemple. Il agit également sur l’ordinateur de la victime comme tel :

  • Il manipule de fenêtres
  • Celui-ci peut se mettre à jour de lui-même
  • Un enregistrement provenant des touches du clavier
  • Une possible émulation de la souris et du clavier 
  • La redirection forcée vers des URL
  • L’arrêt comme le redémarrage de la machine
  • Le blocage de l’accès à des sites web.

« Pour un cheval de Troie bancaire latino-américain, Grandoreiro utilise un nombre surprenant de tactiques pour éviter la détection, y compris par émulation. Il inclut notamment de nombreuses techniques de détection et même de désactivation des logiciels de protection bancaire. Les créateurs de ce cheval de Troie semblent extrêmement réactifs. Chaque nouvelle version que nous analysons apporte quelques nouveautés. Nous suspectons aussi qu’ils développent au moins deux variantes en parallèle. Il est intéressant de noter que techniquement, ils utilisent une application très spécifique d’injection de code à des fins d’obfuscation (binary padding) qui complique la suppression de ce remplissage en gardant le fichier valide »,

Robert Šuman, chercheur d’ESET à la tête de l’équipe d’analyse de Grandoreiro.
Grandoneiro

Il y a quelques temps, nous vous avons déjà parlé d’une vague de phishing. Nous n’arrêtons pas de le répéter, mais la sécurité passe par vous avant tout alors n’hésitez pas à investir dans un bon antivirus ! Si vous souhaitez de plus amples informations sur ce Grandoneiro rendez-vous sur l’article « Grandoreiro: How engorged can EXE get. » De nos confrères WeLibeSecurity.com et par la même occasion pour connaître l’actualité des chercheurs, rendez-vous sur Twitter.

Photo de Gabriel Foffano

Gabriel Foffano

Je suis passionné de ce qui se rapproche de près ou de loin à la Tech. Ma grande âme de joueur m'a permis de transpirer des heures devant Dark Souls. J'apporte mon accent du sud durant des streams et surtout je crée des articles sur Le Café du Geek. La rédaction est comme une seconde passion pour moi.

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page