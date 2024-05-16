Depuis mars 2024, IBM X-Force suit plusieurs campagnes de phishing à grande échelle distribuant le cheval de Troie bancaire Grandoreiro, qui est probablement exploité en tant que Malware-as-a-Service (MaaS). L’analyse du logiciel malveillant a révélé des mises à jour majeures dans l’algorithme de déchiffrement de chaînes et de génération de domaines (DGA), ainsi que la possibilité d’utiliser des clients Microsoft Outlook sur des hôtes infectés pour diffuser d’autres e-mails de phishing. La dernière variante de logiciel malveillant vise également spécifiquement plus de 1500 banques mondiales, permettant aux attaquants de pratiquer des fraudes bancaires dans plus de 60 pays, dont des régions d’Amérique centrale et du Sud, d’Afrique, d’Europe et de l’Indo-Pacifique. Bien que les campagnes soient traditionnellement limitées à l’Amérique latine, à l’Espagne et au Portugal, X-Force a observé de récentes campagnes se faisant passer pour le Service d’administration fiscale (SAT) du Mexique, la Commission fédérale de l’électricité (CFE) du Mexique, le Secrétariat à l’administration et aux finances du Mexique, le Service des recettes de l’Argentine et notamment le Service des recettes d’Afrique du Sud (SARS). Le logiciel malveillant remanié et le nouveau ciblage peuvent indiquer un changement de stratégie depuis la dernière action des forces de l’ordre contre Grandoreiro, incitant probablement les opérateurs à commencer à étendre le déploiement de Grandoreiro dans des campagnes de phishing mondiales, en commençant par l’Afrique du Sud.
Depuis mars Depuis mars 2024, X-Force a observé des campagnes de hameçonnage usurpant l’identité du Service de l’administration fiscale (SAT) du Mexique, de la Commission fédérale de l’électricité (CFE) du Mexique, du Secrétariat à l’Administration et aux Finances de la ville de Mexico et de l’administration fiscale argentine. Les e-mails ciblent les utilisateurs en Amérique latine, y compris les domaines de premier niveau (TLD) du Mexique, de la Colombie et du Chili « .mx », « .co » et « .cl ». Toute identité réelle a été masquée des images pour des raisons de confidentialité.
La première campagne semble être une tentative pour paraître officielle et urgente, et informe la cible qu’elle reçoit un avis final concernant un débit des frais d’enregistrement des contribuables fédéraux (RFC) qui n’a pas été payé. En cas de non-paiement, les conséquences peuvent inclure des pénalités, des amendes et un blocage du numéro d’identification fiscale de l’utilisateur, affectant la capacité de la cible à faire des affaires et à accéder légalement aux services gouvernementaux. Une autre campagne usurpe l’identité de la Commission fédérale de l’électricité (CFE) du Mexique et rappelle au destinataire qu’il s’est abonné à CFEMail, et qu’il peut donc accéder à son relevé de compte au format PDF et XML en cliquant sur l’un des liens intégrés. Une troisième campagne, imitant celle du Secrétariat à l'Administration et aux Finances, invite le destinataire à cliquer sur un PDF pour lire les détails d’un avis de conformité. Une campagne imitant l'administration fiscale argentine demande à l’utilisateur de télécharger un nouveau document fiscal et de prendre les mesures nécessaires.
Dans chaque campagne, les destinataires sont invités à cliquer sur un lien pour consulter une facture ou des frais, un relevé de compte, effectuer un paiement, etc., selon l’entité dont l’identité a été usurpée. Si l’utilisateur qui clique sur les liens se trouve dans un pays spécifique (selon la campagne : Mexique, Chili, Espagne, Costa Rica, Pérou ou Argentine), il est redirigé vers une image d’icône PDF, et un fichier ZIP est téléchargé en arrière-plan. Les fichiers ZIP contiennent un gros exécutable déguisé avec une icône PDF, dont on a constaté qu’il avait été créé la veille ou le jour de l’envoi de l’e-mail.
Figures 1 et 2 : Exemples d’e-mails usurpant l’identité du SAT et de la CFE
Fig. 3 et 4 : Secrétariat à l’administration et aux finances, et AFIP
Le logiciel malveillant Grandoreiro est généralement observé dans des campagnes ciblant des utilisateurs en Amérique latine ; cependant, suite aux récentes arrestations d’opérateurs de Grandoreiro, X-Force a constaté une recrudescence des campagnes atteignant des zones situées en dehors de l’Amérique latine, notamment des TLD d’Espagne, du Japon, des Pays-Bas et d’Italie. X-Force a observé une campagne d’hameçonnage usurpant l’identité de l’administration fiscale sud-africaine (SARS) et se faisant passer pour la division des services d’assistance aux contribuables. Probablement exécutée par le même opérateur, X-Force a également observé deux campagnes usurpant l’identité du Service de l’administration fiscale du Mexique. Les e-mails sont rédigés soit en anglais, soit en espagnol, et suivent le même format. Les e-mails font référence à un numéro fiscal et informent le destinataire qu’il reçoit une facture fiscale électronique conforme aux réglementations établies par le South African Revenue Service, ou à celles du Service de l’administration fiscale. L’utilisateur reçoit à la fois un lien vers un fichier PDF et un lien vers un fichier XML pour consulter la facture, ce qui déclenche le téléchargement d’une archive ZIP contenant l’exécutable du chargeur Grandoreiro « SARS 35183372 eFiling 32900947.exe ». (les chiffres varient selon les échantillons).
Fig. 5, 6 et 7 : Exemples d’e-mails se faisant passer pour le SAT et le SARS
Comme pour les campagnes précédentes, la chaîne d’infection de Grandoreiro commence par un chargeur personnalisé. Souvent, la taille de l’exécutable dépasse 100 Mo pour empêcher l’analyse antivirus automatique. Dans l’espoir de contourner l’exécution automatique, il affiche une petite fenêtre contextuelle CAPTCHA imitant le lecteur PDF d’Adobe, sur laquelle il faut cliquer pour continuer l’exécution.
Figure 8 : Le CAPTCHA du faux lecteur Adobe PDF de Grandoreiro
Le chargeur a trois tâches principales :
Toutes ces tâches nécessitent plus de 120 chaînes de caractères importantes, qui sont chiffrées à l’aide d’un algorithme amélioré.
Grandoreiro commence par générer une longue chaîne faisant office de clé, codée en dur et encodée trois fois en Base64. La clé observée dans ces exemples commence par « D9JL@2]790B{P_D}Z-MXR&EZLI%3W>#VQ4UF+O6XVWB16713NIO!E… ». Il prend ensuite la chaîne chiffrée et utilise un décodage personnalisé pour la convertir en une série de caractères hexadécimaux interprétés comme des octets.
Fig. 9 : Encodage hexadécimal personnalisé de Grandoreiro (notez que les encodages de caractères non hexadécimaux comme « " » ne sont jamais utilisés)
Grandoreiro déchiffre le résultat via l’ancien algorithme de Grandoreiro en utilisant la chaîne clé. Voici une implémentation Python de la routine de déchiffrement :
Enfin, il subit une dernière phase de déchiffrement AES CBC 256 bits et de retrait du bourrage pour récupérer la chaîne en texte clair. La clé AES et le vecteur d’initialisation (IV) sont également stockés sous forme de chaînes chiffrées et doivent être déchiffrés en utilisant le même algorithme que ci-dessus, mais en sautant le déchiffrement AES. Le graphique ci-dessous donne un aperçu du processus de déchiffrement complet :
Figure 10 : Déchiffrement des chaînes du chargeur Grandoreiro
Pour vérifier qu’une victime ne fait pas partie d’un environnement sandboxé, le chargeur Grandoreiro recueille les informations suivantes et les compare à une liste de valeurs codées en dur (voir l’annexe) :
Cette étape de vérification est également utilisée pour interdire l’accès aux victimes de certains pays. Un échantillon n’a pas poursuivi l’exécution pour des infections associées à des adresses IP publiques provenant de :
L’échantillon a également empêché l’infection de machines Windows 7 situées aux États-Unis et dépourvues d’antivirus.
L’étape d’exécution suivante tente d’établir un profil de base de la victime à afficher sur le panneau C2. Le logiciel malveillant énumère les informations suivantes sur la machine victime :
Grandoreiro concatène les résultats à l’aide de la chaîne « *~+ » et les envoie dans le cadre de la demande de charge utile chiffrée au serveur C2.
Le serveur C2 du chargeur Grandoreiro peut être déchiffré via le même algorithme que celui expliqué ci-dessus. Le nom de domaine résultant est résolu en DNS over HTTPS via l’URL https://dns.google/resolve?name=<C2 server> afin de contourner les blocages fondés sur le DNS. Après avoir reçu l’adresse IP C2, le logiciel malveillant prend les 4 premiers chiffres de l’adresse IP et exécute 4 mappages chiffre à chiffre différents dessus, ce qui génère le numéro de port à 4 chiffres.
Il concatène ensuite la chaîne de profilage de la victime ci-dessus avec un message portugais en majuscules « CLIENT_SOLICITA_DDS_MDL » (probablement traduit par « Le client demande des données de module »). Voici un exemple de chaîne de caractères :
La chaîne est chiffrée et envoyée en tant que chemin d’URL via une requête HTTP GET au serveur C2 demandant la charge utile finale Grandoreiro.
En cas de succès, le serveur C2 répond par un code d’état HTTP 200 contenant un autre message chiffré. Il contient les informations suivantes :
Exemple :
Pour télécharger, Grandoreiro envoie une autre requête HTTP GET à l’URL de la charge utile. Le fichier téléchargé est stocké dans le répertoire spécifié sous « C:\ProgramData\ ». Ensuite, le fichier est déchiffré via un algorithme basé sur RC4 en utilisant la clé « 7684223510 ». Enfin, il est décompressé à l’aide de la bibliothèque Delphi « ZipForge », et le fichier téléchargé initialement est supprimé.
L’archive peut contenir deux fichiers, un .EXE (cheval de Troie bancaire Grandoreiro) et un .CFG (fichier de configuration).
Avant l’exécution, le chargeur énumère les appartenances de groupe du jeton du processus en cours, en vérifiant notamment la présence du SID SECURITY_NT_AUTHORITY. Si le processus possède les privilèges requis, le chargeur utilise la fonction ShellExecuteW() avec le verbe « runas » (exécuter en tant que) pour exécuter la charge utile Grandoreiro avec des privilèges élevés. Inversement, si les privilèges nécessaires ne sont pas disponibles, le chargeur s’exécute lui-même via ShellExecuteW() sans élévation.
À toutes les étapes de l’infection (téléchargement de la charge utile, déchiffrement et exécution), le chargeur Grandoreiro renvoie des messages d’état à son serveur C2. Voici quelques exemples :
La charge utile finale est le cheval de Troie bancaire Grandoreiro. La dernière version a fait l’objet de mises à jour majeures, principalement au niveau des algorithmes de déchiffrement des chaînes et de calcul du DGA. Elle intègre également un grand nombre d’applications bancaires mondiales à cibler, prend en charge l’exécution et permet aux attaquants de commettre des fraudes bancaires dans des dizaines de pays. Associé à un module de diffusion Outlook spécialisé et à un large éventail de fonctionnalités, il s’agit de l’un des plus grands chevaux de Troie bancaires connus, dont l’analyse est toujours en cours. Les sections suivantes présentent une analyse approfondie des caractéristiques les plus remarquables de Grandoreiro, en mettant en lumière ses fonctionnalités et capacités essentielles.
Grandoreiro commence par établir la persistance via le registre Windows. Il exécute la commande suivante pour créer une nouvelle clé de registre Run et lancer le logiciel malveillant lors de la connexion de l’utilisateur :
Notez que le nom de la clé peut différer selon les échantillons, mais il est souvent lié au nom de fichier original de la charge utile téléchargée. Si Grandoreiro ne s'exécute pas dans un processus élevé, le verbe « /runas » est omis.
En plus du fichier .CFG, Grandoreiro crée également un fichier .XML dans le répertoire « C:\Public\ ». Il est chiffré via la routine de chiffrement de chaînes du chargeur et stocke le nom du fichier exécutable Grandoreiro, le chemin et la date de l’infection.
Si Grandoreiro ne trouve pas son fichier .CFG, il remplira un nouveau .CFG avec les valeurs par défaut indiquant quelles fonctions Grandoreiro sont activées, le pays de la victime et la date de l’infection. Le fichier .CFG est chiffré via l’algorithme de chiffrement de chaînes de Grandoreiro expliqué plus loin.
Les opérateurs de Grandoreiro ont considérablement mis à jour la liste des applications bancaires ciblées, de sorte que le logiciel vise désormais plus de 1 500 banques dans le monde. Les dernières variantes commencent par déterminer si la victime figure sur la liste des pays ciblés. Chaque pays est également rattaché à une région plus vaste, que Grandoreiro utilise pour déterminer quelles recherches de chaînes il doit effectuer sur les fenêtres actuellement actives. Cela signifie que, si le pays de la victime est par exemple identifié comme étant la Belgique, il recherchera toutes les applications bancaires ciblées associées à la région Europe. Grandoreiro associe en interne les pays aux catégories de régions Europe, Amérique du Nord, Amérique centrale, Amérique du Sud, Afrique, Indo-Pacifique et îles du monde, chaque région étant associée à une classe Delphi pour la recherche d’applications bancaires. De plus, Grandoreiro dispose d’une classe recherchant 266 chaînes uniques identifiant des portefeuilles de cryptomonnaies, qui est exécutée à chaque infection.
Fig. 11 : Grandoreiro lance un nouveau thread basé sur la région du pays détecté
La carte thermique ci-dessous indique le nombre d’applications bancaires uniques associées à chaque pays. Notez que chaque application peut être détectée avec plusieurs chaînes :
Figure 12 : Applications bancaires ciblées par Grandoreiro par pays (créé à l’aide de Datawrapper et alimenté par les informations issues des recherches de l’équipe X-Force)
Grandoreiro s’appuie traditionnellement sur des algorithmes de génération de domaines (DGA) pour calculer son serveur C2 actif sur la base de la date du jour. La nouvelle version de Grandoreiro contient un algorithme retravaillé et va encore plus loin en introduisant plusieurs graines pour son DGA. Ces graines sont utilisées pour calculer un domaine différent pour chaque mode ou fonctionnalité du cheval de Troie bancaire, ce qui permet de séparer les tâches C2 entre plusieurs opérateurs dans le cadre de leur opération de Malware-as-a-Service. Chaque échantillon Grandoreiro peut avoir une graine principale par défaut au cas où le fichier de configuration serait manquant, ainsi qu’une liste de graines spécifiques à une fonction. L’échantillon analysé par X-Force contenait 14 graines différentes, soit 14 domaines C2 possibles par jour. Pour expliquer l’algorithme, nous allons calculer les domaines pour le 17 avril 2024. Le graphique suivant fournit une visualisation de l’algorithme avec une explication ci-dessous :
Fig. 13 : Visualisation DGA
En commençant par l'apex du domaine, Grandoreiro a un domaine mappé à chaque jour de l’année. Il existe deux de ces mappages, un pour le C2 principal et un pour tous les C2 spécifiques aux fonctions. Cependant, parmi les 732 domaines apex, seuls 337 sont uniques. Pour le jour donné, l’apex primaire est dnsfor[.]me et le secondaire est neat-url[.]com.
Pour la partie suivante, Grandoreiro concatène la graine « xretsmzrb » (la graine principale) avec le mois en cours formaté à 2 chiffres, en remplaçant chaque chiffre par trois caractères codés en dur. Les chiffres « 0 » et « 4 » sont remplacés respectivement par « oit » et « zia », donnant ainsi la chaîne complète « xretsmzrboitzia ».
Enfin, pour chaque jour du mois, Grandoreiro dispose d’un mappage de remplacement caractère par caractère personnalisé. Pour le 17, après avoir exécuté les 26 remplacements de caractères de manière itérative, la chaîne finale de sous-domaine est « wondbbhonandhnd ».
Après avoir calculé les domaines restants pour toutes les graines codées en dur, la liste des domaines C2 pour le 17 avril 2024 devient :
X-Force a pu confirmer qu’au moins quatre de ces domaines se sont résolus ce jour-là vers des adresses IP basées au Brésil :
Le port du serveur C2 est calculé à partir des quatre premiers chiffres de l’adresse IP via un mappage personnalisé chiffre à chiffre, tout comme le chargeur Grandoreiro. Voir l’annexe pour la liste complète de tous les domaines Grandoreiro pré-calculés. Notez que Grandoreiro change fréquemment de graine. Quelques semaines après l’infection initiale, X-Force a constaté que seul le serveur C2 de la graine principale restait actif.
Les recherches menées sur les données de télémétrie DNS de X-Force pour début mai montrent que les infections actuelles sont principalement situées en Amérique latine :
Figure 14 : Géolocalisation des infections début mai
Après avoir tenté de résoudre le domaine DGA calculé, Grandoreiro envoie l’un des nombreux messages d’enregistrement concaténés avec des données d’énumération et chiffrés, tout comme le chargeur Grandoreiro. Les messages suivants peuvent être envoyés en fonction des privilèges, de l’antivirus installé et des domaines C2 actifs :
Grandoreiro prend en charge un grand nombre de commandes différentes, notamment les suivantes :
Le logiciel malveillant permet également d’ouvrir spécifiquement des URL Banco Banorte codées en dur :
Il permet en outre l’exécution de commandes JavaScript dans le navigateur pour simuler des clics de boutons HTML :
javascript:document.getElementById(‘ctl00_Contentplaceholder1_lbNuevaCuenta’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnAceptar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnContinuar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_Button17’).click();
En raison du grand nombre de commandes différentes et de leur dénomination, la base de code de Grandoreiro semble contenir des commandes récemment ajoutées ainsi que des fonctionnalités anciennes qui ne sont plus utilisées activement. Le cheval de Troie bancaire passe probablement par des cycles de développement fréquents pour ajouter de nouvelles fonctionnalités sans trop de remaniement, ce qui contribue à la taille globale de la base de code.
Une des fonctionnalités les plus intéressantes de Grandoreiro est sa capacité à se propager en récoltant les données d’Outlook et en utilisant le compte de la victime pour envoyer des e-mails non sollicités. Grandoreiro met en œuvre au moins 3 mécanismes pour collecter et exfiltrer les adresses e-mail, chacun utilisant une graine DGA différente. En utilisant le client Outlook local pour le spam, Grandoreiro peut se propager par e-mail dans les boîtes de réception des victimes infectées, ce qui contribue probablement à l’important volume de spam observé depuis Grandoreiro.
Pour le mode de collecte d’Outlook, Grandoreiro bascule son C2 vers la graine DGA 7, qui est utilisée pour exfiltrer les données. La journalisation et les messages d’état continuent d'être envoyés au serveur C2 principal. Par exemple, avant de commencer le processus de collecte, il renvoie un journal contenant les mêmes données de profilage de la victime ainsi que les chaînes « CLIENT_SOLICITA_DD_EMSOUT » (le client demande les données EMSOUT) et « COLHENDO » (collecte).
Pour interagir avec le client Outlook local, Grandoreiro utilise l'outil Outlook Security Manager, un logiciel utilisé pour développer des modules complémentaires Outlook. La raison principale est qu’Outlook Object Model Guard déclenche des alertes de sécurité s’il détecte un accès à des objets protégés. Outlook Security Manager permet à Grandoreiro de désactiver ces alertes à la fois lors de la collecte et de l'envoi de spam. Selon l’architecture du système, l’outil nécessite que les DLL « secman.dll » ou « secman64.dll » soient enregistrées en tant que serveurs COM. Il utilise ensuite MAPI pour interagir avec Outlook.
Le logiciel malveillant commence par localiser le dossier racine de la boîte aux lettres, puis parcourt les e-mails de manière récursive. Pour chaque e-mail, il vérifie la propriété « SenderEmailAddress » et lui applique une liste de blocage afin d'exclure de la collecte les adresses e-mail indésirables :
Les adresses e-mail qui ne contiennent aucune des chaînes ci-dessus sont agrégées dans un fichier texte, compressées en ZIP et exfiltrées.
Outre le processus de collecte décrit ci-dessus, Grandoreiro prend également en charge l’ajout d’un fichier PST à Outlook via la fonction Namespace.AddStore(). Un autre mécanisme de collecte pris en charge parcourt de manière récursive le système de fichiers de la victime et analyse les fichiers pour y trouver des adresses e-mail. Les fichiers avec les extensions suivantes sont ouverts et analysés :
“*.txt”, “*.csv”, “*.html”, “*.xml”, “*.dat”, “*.db”, “*.sqlite”, “*.xlsx”, “*.xls”, “*.xlsm”, “*.dbf”, “*.doc”, “*.docx”, “*.docm”
Pour éviter les analyses inutiles, Grandoreiro tient à jour une autre liste noire de chemins à ne pas analyser, excluant les répertoires système courants.
Pour envoyer des spams, Grandoreiro utilise des modèles de phishing qu’il reçoit de son serveur C2. Il parcourt ensuite le modèle et remplit les champs d’espace réservé tels que :
Juste avant de commencer à envoyer des e-mails, Grandoreiro lance un thread pour détecter les boîtes de dialogue qui apparaissent et les fermer en envoyant des pressions spécifiques sur les touches TAB et ESPACE. Après avoir envoyé les e-mails, le logiciel malveillant efface soigneusement ses traces en supprimant les messages envoyés de la boîte aux lettres de la victime. En outre, pour une grande partie des comportements de collecte et de spamming, Grandoreiro s’assure que la dernière saisie sur la machine infectée date d’au moins 5 minutes (voire plus dans certains cas). Les développeurs voulaient probablement s’assurer que les victimes ne remarqueraient aucun comportement suspect.
Pendant le spamming, Grandoreiro renvoie les messages de statut suivants :
Grandoreiro étant un logiciel malveillant particulièrement volumineux, il nécessite une énorme quantité de chaînes, ce qui rendrait la détection très facile si elles n’étaient pas chiffrées. Grandoreiro propose plus de 10 000 chaînes dispersées dans plus d’une centaine de fonctions de chargement de chaînes spécifiques aux fonctionnalités. Le mécanisme de déchiffrement diffère légèrement du déchiffrement de chaînes du chargeur :
Il utilise la même clé Grandoreiro que le chargeur, qu’il déchiffre via son chiffrement personnalisé et la clé « A ». Une fois qu’il dispose de la clé, il décode la chaîne chiffrée en utilisant le même encodage que le chargeur, puis déchiffre les octets résultants en mode AES ECB à l’aide de l’implémentation ElAES Pascal. La clé AES est une version brouillée de la clé Grandoreiro précédemment déchiffrée. Après une autre série de décodages personnalisés, la chaîne est finalement déchiffrée à l’aide de l’ancien algorithme de Grandoreiro et de la clé de Grandoreiro.
Figure 15 : Déchiffrement des chaînes du cheval de Troie bancaire Grandoreiro
X-Force a observé plusieurs campagnes récentes de phishing se faisant passer pour des entités gouvernementales officielles afin de diffuser le cheval de Troie bancaire Grandoreiro. Les distributeurs de Grandoreiro ciblent généralement les utilisateurs en Amérique latine ; cependant, depuis la dernière action des forces de l’ordre contre les opérateurs de Grandoreiro, X-Force a observé que le logiciel malveillant se propageait en dehors de l’Amérique latine pour inclure des régions d’Amérique centrale et du Sud, d’Afrique, d’Europe et du Pacifique. Les échantillons de chevaux de Troie bancaires Grandoreiro que X-Force a analysés ont fait l’objet de mises à jour majeures au niveau des algorithmes de déchiffrement de chaînes et de calcul DGA. Ces nouveaux échantillons analysés incluent désormais un grand nombre d’au moins 1 500 applications bancaires mondiales ciblées, qui prennent en charge l’exécution et permettent aux attaquants de commettre des fraudes bancaires dans plus de 60 pays. Les mises à jour apportées au logiciel malveillant, ainsi que l’augmentation significative des applications bancaires dans plusieurs pays, indiquent que les distributeurs de Grandoreiro cherchent à mener des campagnes et à diffuser des logiciels malveillants à l’échelle mondiale.
Nous encourageons les entreprises susceptibles d’être impactées par ces campagnes à examiner les recommandations suivantes :
