Campagne « Grandoreiro Infostealer »
4 août 2025
Par Samantha Clarke et l'équipe de recherche sur les menaces de Mimecast
- Le cheval de Troie bancaire Grandoreiro cible les établissements financiers et les utilisateurs dans toute l'Amérique latine et étend son champ d'action à l'échelle mondiale.
- Des campagnes de Phishing sophistiquées se font passer pour des administrations fiscales et des services de police.
- Une infrastructure basée sur la géolocalisation garantit une diffusion ciblée vers des régions spécifiques. Les attaques en plusieurs étapes exploitent des fonctions JavaScript et le téléchargement de fichiers ZIP.
- Les capacités étendues d'exfiltration de données concernent notamment les identifiants bancaires et les informations relatives aux portefeuilles de cryptomonnaies.
Présentation de la campagne
Samantha Clarke et l'équipe de recherche sur les menaces de Mimecast ont identifié des campagnes actives utilisant le cheval de Troie bancaire Grandoreiro, qui constituent une menace importante pour les établissements financiers et les particuliers (référencées en interne sous le code MCTO1022). Grandoreiro est un cheval de Troie bancaire brésilien bien connu, actif depuis 2016, qui permet aux cybercriminels d'effectuer des opérations bancaires frauduleuses. Ce malware sophistiqué est devenu une menace mondiale, les campagnes récentes s'étendant au-delà de sa zone d'action traditionnelle en Amérique latine pour cibler des utilisateurs en Europe et en Afrique.
Les auteurs de l'attaque « Grandoreiro » sont identifiés en interne sous la référence MCTO1023. Ces acteurs mènent des campagnes de Phishing sophistiquées dans lesquelles ils se font passer pour des organismes publics légitimes, notamment des administrations fiscales et des forces de l'ordre. Ils utilisent cette méthode pour inciter les utilisateurs à télécharger des fichiers malveillants. Cette approche d'ingénierie sociale tire parti de la confiance que les utilisateurs accordent naturellement aux communications officielles des pouvoirs publics pour atteindre des taux de réussite élevés en matière de collecte d'identifiants et de déploiement de malware.
Thèmes et ciblage de la campagne
Les récentes campagnes menées par Grandoreiro ont démontré une compréhension approfondie des structures administratives régionales et des comportements des utilisateurs. Les auteurs de ces attaques recourent à des tactiques d'ingénierie sociale spécifiques à chaque région, qui s'adaptent aux procédures administratives locales et aux canaux de communication officiels, à l'instar des techniques observées dans d'autres chevaux de Troie bancaires en Amérique latine.
Principales régions cibles :
- Amérique latine : Brésil, Mexique, Argentine, Espagne (cible principale)
- Développement des activités : certaines régions d'Europe et d'Afrique
Entités dont l'identité a été usurpée :
- Administration fédérale des recettes publiques (AFIP) - Argentine
- Agence de perception et de contrôle douanier (ARCA) - Argentine
- Secrétariat des Finances et du Crédit public (SHCP) - Mexique
- Direction générale de la police - Espagne
- Services fiscaux - Argentine
- Ministère des Finances - Mexique
- Notifications de contraventions de police – Espagne
Des exemples ont été recensés dans lesquels des personnes se font passer pour l'Administration fédérale des recettes publiques.
Et le ministère des Finances et du Crédit public.
Infrastructure technique et déroulement de l'attaque
La campagne Grandoreiro utilise des techniques sophistiquées de géorepérage afin de s'assurer que les contenus malveillants ne soient diffusés qu'aux utilisateurs des pays ciblés. L'infrastructure utilise des sous-domaines de contaboserver.net spécialement configurés pour refuser l'accès aux utilisateurs situés en dehors des zones géographiques ciblées, ce qui permet d'optimiser les taux d'infection tout en minimisant l'exposition aux chercheurs en sécurité. Cette approche à plusieurs niveaux garantit que le malware n'est transmis qu'aux victimes visées, tout en échappant aux systèmes automatisés de détection des menaces.
Le scénario d'attaque intègre des fonctions JavaScript qui effectuent une vérification du navigateur avant de passer à l'étape suivante de l'attaque via un fichier PDF hébergé, ce qui implique généralement le téléchargement d'un fichier ZIP malveillant.
La charge utile exécutera ensuite un fichier .EXE qui établit une connexion vers une adresse IP C2 hébergée sur AWS. Au cours de notre enquête, nous avons relevé des éléments liés à la page Web malveillante principale.
Au cours de notre enquête, nous avons découvert le panel de serveurs de messagerie utilisé pour envoyer les e-mails de Phishing à leurs victimes.
Pour les appareils non Windows, des mécanismes de redirection sont mis en place afin d'empêcher la diffusion de la charge utile, ce qui montre que l'accent est mis sur les environnements Windows, où le malware peut atteindre une efficacité maximale. Pour les appareils ne fonctionnant pas sous Windows, le message indique : « Ce contenu est disponible exclusivement sur les appareils fonctionnant sous Windows, tels que les ordinateurs portables et les ordinateurs de bureau. »
Les renseignements recueillis à partir des infrastructures exposées permettent de mettre en lumière l'ampleur de cette opération malveillante. L'analyse de systèmes VPS piratés a permis de mettre au jour une infrastructure de test de spam contenant des adresses e-mail provenant de plusieurs pays d'Amérique latine, notamment l'Argentine, le Mexique, le Brésil, le Pérou, l'Espagne, le Chili, la Bolivie, l'Équateur, le Paraguay, l'Uruguay et le Venezuela. Cela laisse entrevoir des opérations coordonnées à l'échelle de la région, avec un potentiel d'expansion continue. Ces groupes malveillants appliquent des pratiques sophistiquées en matière de sécurité opérationnelle, tout en manifestant clairement leur intention d'étendre leurs cibles au-delà des frontières traditionnelles de l'Amérique latine.
Capacités d'exfiltration de données
Grandoreiro offre des capacités complètes de collecte de données qui vont au-delà des identifiants bancaires traditionnels et incluent notamment :
Protection Mimecast
Mimecast a mis en place des fonctionnalités de détection complètes permettant d'identifier et de bloquer les e-mails liés aux campagnes Grandoreiro. Notre équipe de recherche sur les menaces continue de surveiller l'évolution des tactiques et des techniques utilisées par ces acteurs malveillants afin de garantir que nos clients restent protégés contre les vecteurs d'attaque en constante évolution.
Objectifs:
Il s'agit principalement d'établissements financiers et d'utilisateurs particuliers en Amérique latine, avec des activités en pleine expansion ciblant des segments de population similaires en Europe et en Afrique.
Indicateurs de compromission (IOC)
Infrastructure malveillante :
- vmi2664683[.]contaboserver[.]net
- vmi2670907[.]contaboserver[.]net
- vmi2664683[.]contaboserver[.]net
Hachages de fichiers :
- Fichier ZIP : d2b051084d2401c3d826606db8689bba7485061cc1102690d529edb25ddf48fc
- Fichier VBS : 6f7eb90f33d87a5765a29f696e33ec7958f272225add6e4a1dc7994cd32f63f3
Leurres courants :
- Correspondance avec l'administration fiscale
- Notifications relatives à la conformité réglementaire
- Contraventions délivrées par les forces de l'ordre
- Communications de l'administration fiscale
Recommandations
Formation à la sensibilisation à la sécurité destinée aux utilisateurs :
- Sensibilisez les utilisateurs aux techniques utilisées pour usurper l'identité d'organismes publics
- Organisez régulièrement des simulations de Phishing portant sur des thèmes liés à l'administration fiscale et aux forces de l'ordre
- Apprenez aux usagers à vérifier les communications des pouvoirs publics par le biais des canaux officiels avant de passer à l'action.
Sécurité des réseaux :
- Surveiller les connexions aux sous-domaines de contaboserver.net
- Mettez en place des contrôles d'accès géographiques lorsque cela s'avère nécessaire
Recherche proactive des menaces :
- Rechercher dans les journaux des e-mails de confirmation les appâts correspondants
- Surveillez les schémas de redirection basés sur JavaScript correspondant aux campagnes de Grandoreiro
- Enquêter sur les téléchargements inhabituels de fichiers ZIP provenant d'infrastructures externes