Granda Misha Trojan

Description de Granda Misha Trojan

Le Granda Misha est un cheval de Troie polyvalent menaçant qui peut effectuer des actions multiples, intrusives et insidieuses sur les ordinateurs qu'il infecte. La menace est proposée à la vente à d'autres cybercriminels potentiels par ses créateurs. Selon les objectifs des clients, le comportement de Granda Misha peut être personnalisé pour atteindre différents objectifs nuisibles.

Selon le matériel promotionnel, le cheval de Troie est capable de fournir un accès complet au niveau utilisateur au système piraté. Les attaquants peuvent ensuite exécuter des commandes arbitraires et activer les fonctions de chargement de la menace pour supprimer les charges utiles de logiciels malveillants de la prochaine étape, telles que les ransomwares, les crypto-mineurs, les enregistreurs de frappe ou autres.

Le Granda Misha peut également être utilisé pour collecter des données sensibles de la victime. La menace peut extraire des informations privées qui ont été enregistrées dans la plupart des navigateurs Web largement utilisés - Chrome, Firefox, QQ, Vivaldi, Brave, Opera, Yandex, Chromium et Torch Web. Les attaquants pourraient potentiellement accéder aux informations d'identification du compte de la victime, aux détails de paiement et de carte de crédit/débit ou aux informations bancaires.

Les capacités de collecte de données de Granda Misha ne s'arrêtent pas là. Le RAT est également censé extraire des informations des services de communication, des FTP et des crypto-portefeuilles. Parmi la liste des applications ciblées figurent Telegram, Pidgin, Psi, Gajim, NppFTP, WinSCP, Psi++, CoreFTP, FileZilla, etc.

De plus, le cheval de Troie peut exécuter des routines de chiffrement de données et agir dans le cadre d'attaques de type rançongiciel. Les cybercriminels peuvent personnaliser de nombreux détails en fonction de leurs préférences, tels que l'algorithme de cryptage utilisé (SHA-256, Cha-Cha ou Curve25519), si une nouvelle extension de fichier sera ajoutée aux noms des fichiers verrouillés, que ce soit l'arrière-plan du bureau du système infecté sera remplacé par un système personnalisé fourni par les attaquants, si les sauvegardes Windows Shadow Volume Copy seront supprimées, etc. Les pirates peuvent également personnaliser la note de rançon et choisir sa langue parmi 16 choix de langue fournis, leurs méthodes de communication préférées, etc.