Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont publié aujourd’hui un livre blanc détaillant leurs conclusions sur la nature interconnectée des familles de chevaux de Troie bancaires d’Amérique latine. Même si les chevaux de Troie bancaires d’Amérique latine peuvent être considérés comme formant un groupe homogène de malwares, ESET note que de multiples familles distinctes de malwares peuvent toutefois être identifiées. Les chercheurs d’ESET ont également découvert un nombre surprenant d’indicateurs d’une coopération étroite entre les auteurs de chevaux de Troie bancaires d’Amérique latine. Malgré la dimension régionale du terme « Amérique latine », certains chevaux de Troie ciblent l’Espagne et le Portugal depuis la fin de l’année dernière. Le livre blanc a été publié pour la première fois lors de la conférence VB2020 localhost.
« Au cours de l’année écoulée, nous avons publié une série d’articles sur les familles de chevaux de Troie bancaires d’Amérique latine. Ces articles portent principalement sur les aspects les plus importants et les plus intéressants de ces familles, » explique Jakub Souček, l’un des chercheurs travaillant sur la cybercriminalité financière en Amérique latine. « Durant la conférence VB, nous avons discuté de ces familles avec beaucoup de recul. Plutôt que d’examiner les détails de chaque famille et d’identifier leurs caractéristiques uniques, nous nous sommes concentrés sur ce qu’elles ont en commun. »
Les premières similitudes relevées par ESET concernent la mise en œuvre effective de ces chevaux de Troie bancaires. Les implémentations pratiquement identiques des fonctionnalités de base des chevaux de Troie bancaires et des techniques d’attaque, via de fausses fenêtres pop-up soigneusement conçues pour inciter les victimes à fournir des informations sensibles, sont les similitudes les plus évidentes. Ces familles de malwares ont également en commun des bibliothèques tierces, des algorithmes de chiffrement de chaînes généralement inconnus, ainsi que des techniques d’obscurcissement de chaînes et de binaires.
D’autres similitudes peuvent être observées dans la diffusion des malwares. Les chevaux de Troie recherchent généralement la présence d’un marqueur utilisé pour indiquer que la machine a déjà été compromise, et téléchargent les données dans des archives ZIP. ESET a également observé des chaînes de diffusion identiques distribuant plusieurs malwares différents et des méthodes d’exécution communes.
« De plus, différentes familles utilisent des modèles d’emails de spam similaires dans leurs dernières campagnes, comme s’il s’agissait d’une action coordonnée, » conclut M. Souček. « Comme nous ne pensons pas qu’il soit possible que des auteurs indépendants de malwares aient autant d’idées communes, et comme nous ne pensons pas qu’un seul groupe se charge de maintenir toutes ces familles de malwares, nous devons donc en conclure qu’il s’agit de multiples acteurs qui coopèrent étroitement les uns avec les autres. »
Pour plus de détails techniques sur ces chevaux de Troie, lisez le livre blanc « LATAM financial cybercrime: Competitors in crime sharing TTPs » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.