Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont publié aujourd’hui un nouveau volet de leur série sur les chevaux de Troie bancaires latino-américains. Depuis 2018, ils enquêtent sur Vadokrist, un cheval de Troie qui se concentre spécifiquement sur le Brésil. Ce malware est diffusé via des e-mails malveillants ciblant des institutions financières, et utilise une fonctionnalité de porte dérobée.
Contrairement à la plupart des autres chevaux de Troie bancaires d’Amérique latine, Vadokrist ne collecte pas d’informations sur les victimes immédiatement après avoir réussi à compromettre leur machine. Néanmoins, selon les analyses d’ESET, Vadokrist semble partager plusieurs caractéristiques importantes avec Amavaldo, Casbaneiro, Grandoreiro et Mekotio, qui sont d’autres chevaux de Troie bancaires latino-américains décrits précédemment dans cette série.
« La grande majorité des chevaux de Troie bancaires latino-américains rassemble des informations sur la machine de la victime lors de leur premier lancement. La seule information récupérée par Vadokrist est le nom d’utilisateur de la victime, et il ne le fait qu’après avoir lancé une attaque contre une institution financière ciblée, » explique Jakub Souček, le chercheur d’ESET qui a coordonné l’équipe chargée des recherches sur Vadokrist.
« Malgré qu’il ne collecte pas d’informations, Vadokrist peut manipuler la souris, simuler une saisie au clavier, enregistrer les frappes, faire des captures d’écran et redémarrer la machine. Il est également capable de bloquer l’accès à des sites web bancaires en terminant les processus des navigateurs, ce qui est selon nous une technique visant à empêcher les victimes d’accéder à leurs comptes bancaires en ligne, et de permettre aux agresseurs de garder le contrôle, poursuit M. Souček.
Pour plus de détails techniques sur Vadokrist, lisez l’article « Vadokrist – A wolf in sheep’s clothing » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Chaîne d’infection récente de Vadokrist
