Cercetătorii ei ESET, conform analizelor recente ale troieni bancare afectând America Latină, a trecut la anatomia ei Guildma.
Σîn special, a trecut la anatomia celor mai puternice și avansate troian bancar pe care îl întâlniseră vreodată din acest grup în acea zonă: cel Guildma. Acest malware vizează în mod special instituțiile bancare, încercând să fure acreditările pentru conturile de e-mail, magazinele electronice și serviciile de streaming din Brazilia.
A infectat de cel puțin 10 ori mai multe victime decât alți troieni latino-americani analizați ESET. În perioada de boom - o campanie uriașă în 2019 - ESET a înregistrat până la 50.000 de atacuri pe zi. Guildma se răspândește exclusiv prin e-mailuri nesolicitate cu atașamente rău intenționate.
Într-una dintre cele mai recente versiuni, Guildma a folosit un nou mod de a distribui servere de comandă și control, abuzând de profilurile de pe YouTube și Facebook. Cu toate acestea, operatorii săi au încetat să mai folosească Facebook aproape imediat și, cel puțin în această etapă, se bazează în întregime pe YouTube.
«Guildma folosește metode de execuție foarte inovatoare și tehnici de atac sofisticate. Atacul real este orchestrat de serverul C&C. În acest fel, operatorii săi pot reacționa mai flexibil la contramăsurile aplicate de bănci atunci când sunt atacateExplică Robert Šuman, cercetător ESET care conduce echipa de analiză Guildma.
Guildma are mai multe funcții backdoor, cum ar fi realizarea de capturi de ecran, înregistrarea apăsărilor de taste, simularea funcțiilor mouse-ului și tastaturii, blocarea comenzilor rapide (cum ar fi dezactivarea Alt + F4 pentru a îngreuna dispariția ferestrelor false) și/sau repornirea.
În plus, Guildma are o arhitectură foarte modulară, constând în prezent din cel puțin 10 module. Malware-ul folosește instrumente care sunt deja pe mașină și își refolosește propriile metode. «Noi tehnici sunt adăugate din când în când, dar în cea mai mare parte, dezvoltatorii par să refolosească tehnici din versiuni mai vechi.", spune Šuman.
Într-una din primele sale ediții Guildma în 2019, a fost adăugată posibilitatea de a viza instituțiile (în principal bănci) din afara Braziliei. În ultimele 14 luni, însă, ESET nu a detectat nicio campanie internațională în afara țării. De fapt, atacatorii au mers atât de departe încât au blocat descărcările de la adrese IP din afara Braziliei.
Campaniile Guildma au escaladat lent până la campania masivă din august 2019, când echipa de cercetare ESET a înregistrat până la 50.000 de mostre pe zi. Această campanie a continuat timp de aproape două luni, ajungând la mai mult de două ori față de nivelul de detecție observat cu 10 luni mai devreme.
[the_ad_group id = ”966 ″]
ΜNu uitați să vă înscrieți (înregistrați) pe forumul nostru, lucru care se poate face foarte ușor prin următorul buton...
(Dacă aveți deja un cont pe forumul nostru, nu trebuie să urmați linkul de înregistrare)
Alaturati-va comunitatii noastre
Urmărește-ne pe Telegram!
