Interpol vient de mener une opération d’envergure à l’encontre de Grandoreiro, un cheval de Troie bancaire. Actif depuis 2016, le logiciel malveillant se propage par le biais de mails frauduleux rédigés « en espagnol, en portugais ou en anglais », indique Kaspersky, qui a participé à l’enquête policière.
Pour endormir la méfiance de leurs cibles, les cybercriminels se font passer pour « des organisations reconnues telles que les tribunaux ou les entreprises de télécommunications et d’énergie », explique Interpol. Le courriel frauduleux demande alors aux utilisateurs de télécharger une pièce jointe ou d’ouvrir un lien piégé.
À lire aussi : Pourquoi la France est submergée par les cyberattaques ?
Des comptes en banque pillés
Une fois qu’il est parvenu à pénétrer sur l’ordinateur de ses victimes, Grandoreiro va s’emparer d’une pléthore d’informations sensibles. Le malware va voler « les noms d’utilisateur, les informations du système d’exploitation, le temps d’exécution de l’appareil et, plus important encore, les identifiants bancaires », met en garde Kaspersky.
Le virus va espionner tout ce que la victime tape sur son clavier, comme des identifiants, simuler des mouvements de la souris ou encore afficher « des fenêtres contextuelles trompeuses ». En combinant ces tactiques, le malware va finir par s’octroyer le contrôle total du compte bancaire des cibles. Les cybercriminels pourront alors réaliser des transferts à l’insu du propriétaire. Une fois l’opération terminée, le butin est blanchi « par l’intermédiaire d’un réseau de mule » avant d’être de finir au Brésil, explique Interpol.
Très populaire dans le monde du crime numérique, Grandoreiro était proposé par le biais d’un abonnement à des cybercriminels en herbe. Ceux-ci paient un abonnement en cryptomonnaies aux créateurs du malware pour obtenir le droit de s’en servir. Ils peuvent dès lors orchestrer leurs attaques sur un tableau de bord mis à disposition des développeurs.
Le virus représente une menace pour « plus de 900 institutions financières dans plus de 40 pays d’Amérique du Nord, d’Amérique latine et d’Europe », avance Kaspersky. La société russe précise avoir repéré « 150 000 attaques utilisant le trojan bancaire Grandoreiro » ciblant « 40 000 utilisateurs dans le monde » entre 2020 et 2022.
Cinq pirates arrêtés
Grâce à des partenaires comme Trend Micro, Kaspersky, Group-IB et Scitum, Interpol est parvenu à remonter jusqu’au gang à l’origine de Grandoreiro en analysant des échantillons du malware. Finalement, l’enquête a abouti à une fouille d’ampleur dans cinq états différents du Brésil. Sous la houlette d’Interpol, les autorités brésiliennes ont arrêté « cinq programmeurs et opérateurs », soupçonnés d’être derrière Grandoreiro.
Malgré l’arrestation des pirates, Kaspersky s’attend « à une exploitation accrue des chevaux de Troie bancaires mobiles » en provenance du Brésil. Les chercheurs pensent que plusieurs familles de virus analogues vont se propager dans le monde.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Interpol