Octo : le cheval de troie bancaire qui fait trembler l’Europe

Les pirates informatiques ne cessent d’évoluer et de diversifier leurs méthodes de cyberattaques. Cette fois-ci c’est avec une amélioration du virus ExoCompact que les cybercriminels tentent de dérober les comptes bancaires des victimes en utilisant des applications comme Google Chrome ou NordVPN.

Octo : avant lui, il y avait Exobot et ExoCompact

Dans un rapport publié le 24 septembre 2024 par des chercheurs sur ThreatFabric, le malware Octo est l’une des versions d’Exobot, un virus qui existe déjà depuis 2016. Un cheval de Troie bancaire capable d’effectuer des attaques par superposition et de contrôler les appels, les SMS et les notifications push. Trois ans plus tard une autre variante de celui-ci voit le jour après que son code source soit divulgué en ligne. Nommé Exobot, il est présenté comme « une version légère conservant la plupart des fonctionnalités de son prédécesseur. ».

Plus tard, en 2022, l’équipe de recherche de ThreatFabric aurait retrouvé et retracé un tout autre virus, intitulé Coper qui aurait un lien direct avec l’ExobotCompact. Un lien qui les a conduits à un pirate informatique sur un forum clandestin, portant le nom d’Architect. Dans lequel il prétendait être le propriétaire d’Octo mais ne fournissait que quelques éléments sur le malware, ce qui a conduit encore une fois les chercheurs à faire le lien et prouver qu’Octo est une nouvelle version d’Exobot.

Depuis, l’équipe de recherche observe une haute activité de la part de ce logiciel malveillant et de ses opérateurs qui ont de plus en plus accès à « cette famille de malwares » appâtés par ses fonctionnalités variées.

Les pays européens sont les premiers ciblés par Octo

Après que le code source d’Octo a fuité, plusieurs forks ont été lancés par des hackers à travers le monde. Cette action a poussé l’acteur à l’origine de la menace à lancer sur le marché une toute nouvelle variante à travers la plateforme Malware-as-a-Service (MaaS). Selon ThreatFabric cette version est encore plus stable avec des « mécanismes anti-analyse et anti-détection plus avancés et un système d’algorithme de génération de domaine (DGA) pour des communications de commande et de contrôle (C2) résilientes ».

Pour se répandre, le virus se dissimule dans de fausses applications marquées Google Chrome, NordVPN ou encore Enterprise Europe Network. Ces applications sont reparties sur des magasins d’application tiers. Pour le moment le maliciel n’a pas réussi à pénétrer sur Play Store. Mais une fois entré sur le téléphone de l’utilisateur, le virus cherchera à s’accaparer les identifiants qui permettent d’accéder aux comptes bancaires.

Plusieurs campagnes reposant sur la nouvelle version d’Octo ont été identifiés dans plusieurs pays d’Europe tels que l’Italie, la Pologne, la Moldavie et la Hongrie. Mais cette attaque pourrait ne pas s’arrêter à ces pays-là et il faudrait donc s’attendre et se préparer à ce que d’autres régions soient ciblées.

Leave a Reply

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading