Une étude sur les campagnes cybercriminelles en Amérique latine

Le récent rapport “Regarder dans la tombe de TUT : L’univers des menaces en Amérique latine et dans les Caraïbes” analyse plus d’une douzaine d’opérations et diverses campagnes cybercriminelles en Amérique latine. Et, c’est passionnant.

Selon les chercheurs d’ESET qui ont participé à cette étude, publiée en anglais sur le site de l’éditeur, les stratégies et techniques de ciblage évolutives de ces campagnes présentent un haut niveau de sophistication, adaptant spécifiquement leurs approches pour exploiter les utilisateurs des entreprises et des instances gouvernementales. La méthode principale est l’utilisation de courrier éléctroniques de spearphishing contenant plusieurs composants malveillants.

Les indicateurs ont été publiés sur Github.

Dans le rapport, ESET Research étudie diverses campagnes documentées ciblant la région LATAM entre 2019 et 2023. La grande majorité des détections concernant ces activités cybercriminelles a eu lieu en Amérique latine et ne sont pas associées à des logiciels criminels mondiaux. Puisque chacune de ces opérations a ses propres caractéristiques et qu’elles ne semblent pas liées à un seul cybercriminel, il est fort probable que plusieurs acteurs soient impliqués.

«Tout comme la vie et la disparition mystérieuse de l’ancien pharaon égyptien Toutankhamon, le paysage des menaces en Amérique latine reste enveloppé de mystère. C’est principalement dû à l’attention limitée, au niveau mondial, pour l’évolution des campagnes malveillantes dans la région », explique Camilo Gutierrez, le chercheur d’ESET, basé à Buenos Aires (Argentine), qui a enquêté sur ces campagnes. «En parallèle avec la façon dont les fouilles archéologiques de la tombe du roi Toutankhamon nous ont éclairé sur la vie égyptienne antique, nous nous sommes penchés sur les cyber-menaces moins médiatisées affectant les pays d’Amérique latine. »

L’analyse a révélé une évolution d’un logiciel criminel simpliste et opportuniste à des menaces plus complexes. Les chercheurs ont aussi observé une transition dans le ciblage, passant d’une approche axée grand public vers des utilisateurs de haut niveau – entreprises et instances gouvernementales. Ces acteurs malveillants mettent leurs outils continuellement à jour, en introduisant différentes techniques d’évasion pour accroître le succès de leurs campagnes. Même si la grande majorité des victimes se trouve dans la région LATAM, on a parfois assisté à une expansion des campagnes ciblant des pays hors de la région. Les acteurs étendent leurs activités en dehors de l’Amérique latine ce qui reflète le modèle utilisant les chevaux de Troie bancaires nés au Brésil.

La précision et les spécificités observées lors des attaques montrent un ciblage de haut niveau, indiquant que les auteurs de la menace ont une connaissance détaillée des victimes choisies. Dans leurs campagnes, les attaquants utilisent des composants malveillants – téléchargeurs des droppers – développés principalement en PowerShell et VBS.

Les observations d’ESET indiquent que parmi les outils utilisés dans ces opérations, la préférence va aux chevaux de Troie avec accès à distance.