Нейните изследователи ESET, според последните анализи на банкови троянски коне засягайки Латинска Америка, пристъпи към нейната анатомия Гилдма.
Σпо-специално, пристъпи към анатомията на най-мощните и напреднали банков троянец които някога са срещали от тази група в тази област: Гилдма. Този зловреден софтуер е насочен специално към банкови институции, опитвайки се да открадне идентификационни данни за имейл акаунти, електронни магазини и стрийминг услуги в Бразилия.
Той е заразил поне 10 пъти повече жертви от други латиноамерикански банкови троянски коне, анализирани от ESET. По време на периода на бум – огромна кампания през 2019 г. – ESET регистрира до 50.000 XNUMX атаки на ден. Guildma се разпространява изключително чрез непоискани имейли със злонамерени прикачени файлове.
В една от последните си версии Guildma използва нов начин за разпространение на командни и контролни сървъри, злоупотребявайки с профили в YouTube и Facebook. Неговите оператори обаче спряха да използват Facebook почти веднага и поне на този етап разчитат изцяло на YouTube.
«Guildma използва много иновативни методи за изпълнение и сложни техники за атака. Действителната атака е организирана от C&C сървъра. По този начин неговите оператори могат да реагират по-гъвкаво на контрамерките, прилагани от банките при атакаОбяснява Робърт Шуман, изследовател на ESET, който ръководи екипа за анализ на Guildma.
Guildma има множество функции на задната врата, като правене на екранни снимки, запис на натискания на клавиши, симулиране на функции на мишката и клавиатурата, блокиране на преки пътища (като деактивиране на Alt + F4, за да затрудни изчезването на фалшивите прозорци) и/или рестартиране.
Освен това Guildma има силно модулна архитектура, която в момента се състои от поне 10 модула. Зловредният софтуер използва инструменти, които вече са на машината, и използва повторно свои собствени методи. «От време на време се добавят нови техники, но в по-голямата си част изглежда, че разработчиците просто използват повторно техники от по-стари версии.“, казва Шуман.
В едно от първите си издания Гилдма през 2019 г. беше добавена възможността за насочване към институции (главно банки) извън Бразилия. За последните 14 месеца обаче ESET не е открил никакви международни кампании извън страната. Всъщност нападателите стигнаха дотам, че блокираха изтегляния от IP адреси извън Бразилия.
Кампаниите на Guildma ескалираха бавно до мащабната кампания през август 2019 г., когато изследователският екип на ESET записа до 50.000 10 проби на ден. Тази кампания продължи почти два месеца, достигайки повече от двойно по-голямо количество засичане, наблюдавано XNUMX месеца по-рано.
[the_ad_group id = ”966 ″]
ΜНе забравяйте да се присъедините (регистрирате) в нашия форум, което може да стане много лесно чрез следния бутон...
(Ако вече имате акаунт в нашия форум, не е необходимо да следвате връзката за регистрация)
Присъединете се към нашата общност
Следвайте ни в Telegram!
