Haar onderzoekers ESET, volgens recente analyses van bank Trojaanse paarden die Latijns-Amerika aantasten, ging verder met zijn anatomie gilde.
Σging in het bijzonder over tot de anatomie van de meest krachtige en geavanceerde bank Trojan die ze ooit van deze groep in dat gebied waren tegengekomen: de gilde. Deze malware is specifiek gericht op bankinstellingen en probeert inloggegevens te stelen voor e-mailaccounts, e-shops en streamingdiensten in Brazilië.
Het heeft minstens 10 keer meer slachtoffers geïnfecteerd dan andere Latijns-Amerikaanse banktrojans die zijn geanalyseerd door ESET. Tijdens de hoogconjunctuur - een enorme campagne in 2019 - had ESET tot 50.000 aanvallen per dag geregistreerd. Guildma verspreidt zich uitsluitend via ongevraagde e-mails met kwaadaardige bijlagen.
In een van de laatste releases gebruikte Guildma een nieuwe manier om command-and-control-servers te distribueren, waarbij misbruik werd gemaakt van profielen op YouTube en Facebook. De operators stopten echter vrijwel onmiddellijk met het gebruik van Facebook en vertrouwen, althans in dit stadium, volledig op YouTube.
«Guildma maakt gebruik van zeer innovatieve uitvoeringsmethoden en geavanceerde aanvalstechnieken. De eigenlijke aanval wordt georkestreerd door de C&C-server. Op deze manier kunnen haar operators flexibeler reageren op de tegenmaatregelen die banken nemen bij een aanvalDit legt Robert Šuman uit, ESET-onderzoeker die het Guildma-analyseteam leidt.
Guildma heeft meerdere achterdeurfuncties, zoals het maken van screenshots, het opnemen van toetsaanslagen, het simuleren van muis- en toetsenbordfuncties, het blokkeren van snelkoppelingen (zoals het uitschakelen van Alt + F4 om het moeilijker te maken voor nepvensters om te verdwijnen) en/of opnieuw opstarten.
Daarnaast heeft Guildma een zeer modulaire architectuur, momenteel bestaande uit minimaal 10 modules. De malware gebruikt tools die al op de machine staan en hergebruikt zijn eigen methoden. «Van tijd tot tijd worden er nieuwe technieken toegevoegd, maar voor het grootste deel lijken ontwikkelaars technieken uit oudere versies te hergebruiken.", zegt Šuman.
In een van de eerste edities gilde in 2019 werd de mogelijkheid toegevoegd om instellingen (voornamelijk banken) buiten Brazilië te targeten. De afgelopen 14 maanden heeft ESET echter geen internationale campagnes buiten het land gedetecteerd. De aanvallers gingen zelfs zo ver dat ze downloads van IP-adressen buiten Brazilië blokkeerden.
Guildma's campagnes escaleerden langzaam tot de massale campagne in augustus 2019, toen het ESET Research Team tot 50.000 monsters per dag registreerde. Deze campagne duurde bijna twee maanden en bereikte meer dan het dubbele van het aantal detecties dat 10 maanden eerder werd waargenomen.
[the_ad_group id = ”966 ″]
ΜVergeet niet om lid te worden (registreren) op ons forum, wat heel gemakkelijk kan worden gedaan door de volgende knop...
(Als je al een account op ons forum hebt, hoef je de registratielink niet te volgen)
Sluit je aan bij onze gemeenschap
Volg ons op Telegram!
