Les chercheurs en cybersécurité ont découvert un tout nouveau cheval de Troie du genre sur le marché bancaire. Le cheval de Troie utilise un véritable binaire VMware pour inciter les outils de sécurité à accepter une activité errante. Cisco Talos a déclaré que les chercheurs avaient récemment examiné la nouvelle campagne contre les logiciels malveillants au Brésil. L'opération cible le secteur bancaire sud-américain et cherche à exploiter les données personnelles des utilisateurs à des fins financières illégales.
Le cheval de Troie semble être un processus légitime et il a été constaté que le malware utilise également un large éventail de techniques sophistiquées pour rester inactif. En plus de se faire passer pour un processus légitime, le cheval de Troie utilise un large éventail de techniques pour rester caché.
En savoir plus: Comment le cheval de Troie vous infecte-t-il?
Le nouveau cheval de Troie bancaire commence le processus en diffusant largement des messages de spam rédigés en portugais, prévoyant que les utilisateurs peuvent facilement être tentés d'ouvrir un e-mail rédigé dans leur langue maternelle. Les criminels utilisent ces e-mails pour inciter les particuliers à ouvrir une facture Boleto, un mode de paiement brésilien bien connu. La facture contient un fichier malveillant avec une URL qui, lorsque l'utilisateur clique dessus, est redirigé vers un raccourcisseur d'URL goo.gl. Les utilisateurs sont ensuite redirigés vers la bibliothèque RAR qui contient un fichier JAR.
Une fois que vous double-cliquez sur ce fichier JAR, un fichier java sera chargé qui exécute le code malveillant et installe le cheval de Troie bancaire. Le code Java établit un lien entre le serveur distant et le système pour télécharger des fichiers supplémentaires. Le code renomme les binaires téléchargés et exécute un véritable binaire à partir de vm.png à partir de VMware (signé) avec une signature numérique VMware.
Une des dépendances du binaire exécuté est vmwarebase.dll qui est un fichier malveillant utilisé pour injecter et exécuter du code prs.png dans explorer.exe ou notepad.exe. Cela charge le module principal du cheval de Troie bancaire qui contient de nombreuses fonctions. Le module crée une clé de registre de démarrage automatique et vous permet de savoir si les utilisateurs interagissent avec une institution financière au Brésil en utilisant la liste sous le formulaire qui contient une institution financière ciblée au Brésil.
Une autre tâche effectuée par le module principal consiste à exécuter le dernier binaire gps.png (précédemment renommé avec l'extension .drv) avec rundll32.exe. Ce binaire est doté d'un outil de sécurité qui rend difficile l'annihilation de la menace.