ESET a publié un white paper détaillant ses conclusions sur l'interconnectivité entre les familles de chevaux de Troie bancaires d'Amérique latine. Le White paper a également été publié par Virus Bulletin.
Pendant longtemps, les chevaux de Troie bancaires latino-américains ont été considérés comme un groupe de logiciels malveillants. Les chercheurs de l'ESET ont découvert que ce n'était pas le cas et que, malgré tant de points communs, de multiples familles distinctes de logiciels malveillants pouvaient être reconnues parmi ces chevaux de Troie bancaires. Au cours de l'année dernière, nous avons publié une série de blogs sur les familles de chevaux de Troie bancaires latino-américains. Ces blogs se concentrent principalement sur les aspects les plus importants et les plus intéressants de ces familles. Jusqu'à présent, nous avons démasqué Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro et Mekotio dans cette série. Dans les pièces à venir, nous continuerons avec Krachulka, Lokorrito, Numando, Vadokrist et Zumanek.
Dans ce white paper, nous examinons ces familles dans une perspective de haut niveau. Plutôt que d'examiner les détails de chaque famille et de mettre en évidence leurs caractéristiques uniques, nous nous concentrons sur ce qu'elles ont en commun. Si vous avez suivi notre série sur les chevaux de Troie bancaire d’Amérique latine, vous avez peut-être remarqué certaines similitudes entre plusieurs familles de notre série, comme l'utilisation du même algorithme peu commun pour crypter des chaînes de caractères ou des DGA suspectes similaires pour obtenir des adresses de serveurs C&C.
Les premières similitudes que nous avons repérées concernent la mise en œuvre effective de ces chevaux de Troie bancaires. La plus évidente est la mise en œuvre pratiquement identique des noyaux de ces chevaux de Troie bancaires : envoi d'une notification à l'opérateur, balayage périodique des fenêtres actives sur la base du nom ou du titre, et attaque via de fausses fenêtres pop-up conçues avec soin pour tenter de soutirer des informations sensibles aux victimes. En outre, ces familles de logiciels malveillants partagent des bibliothèques tierces peu communes, des algorithmes de cryptage de chaînes et des techniques d'obscurcissement de chaînes et de binaires.
Cependant, les similitudes ne s'arrêtent pas là. En analysant les chaînes de distribution de ces familles de logiciels malveillants, nous avons réalisé qu'elles partagent également la même logique de base - elles vérifient généralement la présence d'un marqueur (un objet, tel qu'une valeur de clé de fichier ou de registre utilisée pour indiquer que la machine a déjà été compromise), et téléchargent des données dans des archives ZIP. En outre, nous avons observé que des chaînes de distribution identiques finissaient par distribuer de multiples chevaux de Troie bancaires latino-américains. Il convient également de mentionner que depuis 2019, la grande majorité de ces familles de logiciels malveillants ont commencé à utiliser Windows Installer (fichiers MSI) comme première étape de la chaîne de distribution.
Les chevaux de Troie bancaires latino-américains partagent également des méthodes d'exécution. Ils ont tendance à apporter leurs propres outils regroupés dans les archives ZIP susmentionnées. Les deux méthodes les plus courantes sont le chargement latéral de DLL et l'utilisation abusive d'un interprète AutoIt légitime. En outre, lorsqu'ils utilisent la première méthode, plusieurs familles abusent des mêmes applications vulnérables à cette fin (communément appelé Apportez vos logiciels malveillants vulnérables).
On parle de cheval de Troie bancaire latino-américain, simplement parce que ces chevaux de Troie bancaires ciblent généralement l'Amérique latine. Cependant, depuis la fin de l'année 2019, nous voyons plusieurs d'entre eux ajouter l'Espagne et le Portugal à la liste des pays qu'ils ciblent. En outre, différentes familles utilisent des modèles de spam similaires dans leurs dernières campagnes, presque comme s'il s'agissait d'une action coordonnée.
Compte tenu de tant de similitudes, on pourrait s'attendre à ce que les fausses fenêtres contextuelles que ces chevaux de Troie bancaires utilisent soient également partagées. En fait, il semble que ce soit le contraire. Même si les fenêtres se ressemblent (puisqu'elles sont conçues pour tromper les clients des mêmes institutions financières), nous n'avons pas repéré de multiples familles utilisant des fenêtres identiques.
Comme nous ne pensons pas qu'il soit possible que des auteurs de logiciels malveillants indépendants proposent autant d'idées communes et que nous ne pensons pas non plus qu'un groupe soit responsable de la maintenance de toutes ces familles de logiciels malveillants, nous concluons qu'il s'agit de multiples acteurs de la menace qui coopèrent étroitement les uns avec les autres. Vous pouvez trouver des informations détaillées sur les similitudes que nous avons brièvement présentées ici, dans le white paper.
Techniques MITRE ATT&CK
Dans le tableau ci-dessous, qui est un agrégat des techniques basées sur le tableau standard MITRE ATT&CK, nous illustrons de nombreuses caractéristiques que partagent les chevaux de Troie bancaires latino-américains. Il ne s'agit pas d'une liste exhaustive, mais plutôt d'une liste qui met l'accent sur les similitudes. Voici les principales ressemblances entre ces chevaux de Troie :
- L’hameçonnage est le vecteur d'attaque le plus courant
- Ils s'appuient fortement sur les langages de script, principalement VBScript
- La clé d'exécution du registre ou le dossier de démarrage sont les méthodes de persistance les plus courantes
- Ils obscurcissent tous d'une manière ou d'une autre les données utiles ou les données de configuration
- Ils sont très favorables au chargement latéral de la DLL
- Pour voler des informations d'identification, ils ont tendance à utiliser de fausses fenêtres pop-up ou des enregistreurs de frappe
- Ils consacrent des efforts considérables à la collecte de captures d'écran et à la recherche de logiciels de sécurité
- Les algorithmes de chiffrement personnalisés sont préférés aux algorithmes établis
- Ils n'exfiltrent pas toutes les données récoltées vers le serveur C&C, mais utilisent également des emplacements différents.
Note : Ce tableau a été construit en utilisant la version 7 de MITRE ATT&CK.
| Tactic | ID | Name | Amavaldo | Casbaneiro | Grandoreiro | Guildma | Krachulka | Lokorrito | Mekotio | Mispadu | Numando | Ousaban | Vadokrist | Zumanek |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Initial Access | T1566.001 | Phishing: Spearphishing Attachment | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| T1566.002 | Phishing: Spearphishing Link | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | |
| Execution | T1059.005 | Command and Scripting Interpreter: Visual Basic | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ |
| T1059.007 | Command and Scripting Interpreter: JavaScript/JScript | ✅ | ✅ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | |
| T1059.003 | Command and Scripting Interpreter: Windows Command Shell | ❌ | ✅ | ✅ | ❌ | ✅ | ❌ | ✅ | ✅ | ❌ | ✅ | ✅ | ❌ | |
| T1059.001 | Command and Scripting Interpreter: PowerShell | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ❌ | ✅ | ✅ | ❌ | |
| T1047 | Windows Management Instrumentation | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | |
| T1059 | Command and Scripting Interpreter | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | |
| Persistence | T1547.001 | Boot or Logon Autostart execution: Registry Run Keys / Startup Folder | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| T1053.005 | Scheduled Task/Job: Scheduled Task | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | |
| Defense Evasion | T1140 | Deobfuscate/Decode Files or Information | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| T1574.002 | Hijack Execution Flow: DLL Side-Loading | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | |
| T1497.001 | Virtualization/Sandbox Evasion: System Checks | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | |
| T1218.007 | Signed Binary Proxy Execution: Msiexec | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | |
| T1036.005 | Masquerading: Match Legitimate Name or Location | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | |
| T1197 | BITS Jobs | ❌ | ✅ | ❌ | ✅ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | |
| T1112 | Modify Registry | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | ❌ | |
| T1218.011 | Signed Binary Proxy Execution: Rundll32 | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ✅ | |
| T1027.001 | Obfuscated Files or Information: Binary Padding | ❌ | ✅ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | |
| T1220 | XSL Script Processing | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | |
| Credential Access | T1056.002 | Input Capture: GUI Input Capture | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| T1056.001 | Input Capture: Keylogging | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | |
| T1555.003 | Credentials from Password Stores: Credentials from Web Browsers | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | |
| T1552.001 | Unsecured Credentials: Credentials In Files | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | |
| Discovery | T1010 | Application Window Discovery | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| T1518.001 | Software Discovery: Security Software Discovery | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | |
| T1082 | System Information Discovery | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | |
| T1083 | File and Directory Discovery | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | |
| T1057 | Process Discovery | ❌ | ✅ | ✅ | ❌ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ❌ | |
| Collection | T1113 | Screen Capture | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| T1115 | Clipboard Data | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | |
| Command and Control | T1132.002 | Data Encoding: Non-Standard Encoding | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ |
| T1571 | Non-Standard Port | ✅ | ✅ | ✅ | ❌ | ✅ | ❌ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ | |
| T1132.001 | Data Encoding: Standard Encoding | ❌ | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | ✅ | ✅ | |
| T1568.002 | Dynamic Resolution: Domain Generation Algorithms | ❌ | ❌ | ✅ | ❌ | ✅ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | |
| T1568.003 | Dynamic Resolution: DNS Calculation | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ | ❌ | ❌ | ❌ | |
| Exfiltration | T1048 | Exfiltration Over Alternative Protocol | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ❌ | ✅ | ✅ |
| T1041 | Exfiltration Over C2 Channel | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
Comme vous pouvez le constater, les chevaux de Troie bancaires latino-américains, bien qu'ils présentent des différences, ont de nombreux points communs essentiels.
