Ses chercheurs ESET, selon des analyses récentes de chevaux de Troie bancaires affectant l'Amérique latine, a procédé à son anatomie Guilde.
Σen particulier, a procédé à l'anatomie des plus puissants et avancés cheval de Troie bancaire qu'ils aient jamais rencontré de ce groupe dans cette région : le Guilde. Ce malware cible spécifiquement les institutions bancaires, essayant de voler les identifiants des comptes de messagerie, des boutiques en ligne et des services de streaming au Brésil.
Il a infecté au moins 10 fois plus de victimes que les autres chevaux de Troie bancaires latino-américains analysés par ESET. Pendant la période de boom - une énorme campagne en 2019 - ESET avait enregistré jusqu'à 50.000 XNUMX attaques par jour. Guildma se propage exclusivement par le biais d'e-mails non sollicités contenant des pièces jointes malveillantes.
Dans l'une de ses dernières versions, Guildma a utilisé une nouvelle façon de distribuer des serveurs de commande et de contrôle, en abusant des profils sur YouTube et Facebook. Cependant, ses opérateurs ont cessé d'utiliser Facebook presque immédiatement et, du moins à ce stade, se reposent entièrement sur YouTube.
«Guildma utilise des méthodes d'exécution très innovantes et des techniques d'attaque sophistiquées. L'attaque réelle est orchestrée par le serveur C&C. De cette façon, ses opérateurs peuvent réagir de manière plus flexible aux contre-mesures appliquées par les banques lorsqu'elles sont attaquéesexplique Robert Šuman, chercheur ESET qui dirige l'équipe d'analyse Guildma.
Guildma a plusieurs fonctions de porte dérobée, telles que prendre des captures d'écran, enregistrer des frappes, simuler les fonctions de la souris et du clavier, bloquer les raccourcis (comme désactiver Alt + F4 pour rendre plus difficile la disparition des fausses fenêtres) et/ou redémarrer.
De plus, Guildma a une architecture hautement modulaire, composée actuellement d'au moins 10 modules. Le malware utilise des outils qui sont déjà sur la machine et réutilise ses propres méthodes. «De nouvelles techniques sont ajoutées de temps en temps, mais pour la plupart, les développeurs semblent simplement réutiliser des techniques d'anciennes versions.", Dit Šuman.
Dans l'une de ses premières éditions Guilde en 2019, la possibilité de cibler des institutions (principalement des banques) hors du Brésil a été ajoutée. Au cours des 14 derniers mois, cependant, ESET n'a détecté aucune campagne internationale en dehors du pays. En fait, les attaquants sont allés jusqu'à bloquer les téléchargements à partir d'adresses IP en dehors du Brésil.
Les campagnes de Guildma se sont lentement intensifiées jusqu'à la campagne massive d'août 2019, lorsque l'équipe de recherche d'ESET a enregistré jusqu'à 50.000 10 échantillons par jour. Cette campagne s'est poursuivie pendant près de deux mois, atteignant plus du double du nombre de détections observées XNUMX mois plus tôt.
[the_ad_group id = "966"]