Os pesquisadores dela ESET, de acordo com análises recentes de Trojans bancários afetando a América Latina, procedeu-se à sua anatomia Guilda.
Σem particular, procedeu à anatomia dos mais poderosos e avançados Trojan bancário que eles já haviam encontrado deste grupo naquela área: o Guilda. Este malware visa especificamente instituições bancárias, tentando roubar credenciais de contas de e-mail, e-shops e serviços de streaming no Brasil.
Ele infectou pelo menos 10 vezes mais vítimas do que outros Trojans bancários latino-americanos analisados por ESET. Durante o período de expansão - uma grande campanha em 2019 - o ESET registrou até 50.000 ataques por dia. O Guildma se espalha exclusivamente através de e-mails não solicitados com anexos maliciosos.
Em um de seus últimos lançamentos, Guildma usou uma nova forma de distribuição de servidores de comando e controle, abusando de perfis no YouTube e Facebook. No entanto, seus operadores pararam de usar o Facebook quase imediatamente e, pelo menos nesta fase, dependem inteiramente do YouTube.
«Guildma usa métodos de execução muito inovadores e técnicas de ataque sofisticadas. O ataque real é orquestrado pelo servidor C&C. Desta forma, seus operadores podem reagir com mais flexibilidade às contra-medidas aplicadas pelos bancos quando atacadosExplica Robert Šuman, pesquisador da ESET que lidera a equipe de análise da Guildma.
Guildma tem várias funções de backdoor, como tirar screenshots, gravar teclas, simular funções de mouse e teclado, bloquear atalhos (como desabilitar Alt + F4 para dificultar o desaparecimento de janelas falsas) e / ou reiniciar.
Além disso, Guildma tem uma arquitetura altamente modular, atualmente composta por pelo menos 10 módulos. O malware usa ferramentas que já estão na máquina e reutiliza seus próprios métodos. «Novas técnicas são adicionadas de tempos em tempos, mas na maioria das vezes, os desenvolvedores parecem estar apenas reutilizando técnicas de versões mais antigas.", Diz Šuman.
Em uma de suas primeiras edições Guilda em 2019, foi adicionada a possibilidade de direcionamento a instituições (principalmente bancos) fora do Brasil. Nos últimos 14 meses, no entanto, a ESET não detectou nenhuma campanha internacional fora do país. Na verdade, os invasores chegaram a bloquear downloads de endereços IP fora do Brasil.
As campanhas de Guildma escalaram lentamente até a campanha massiva em agosto de 2019, quando a Equipe de Pesquisa da ESET registrou até 50.000 amostras por dia. Esta campanha continuou por quase dois meses, atingindo mais que o dobro da quantidade de detecção observada 10 meses antes.
[id do_grupo_ad = ”966 ″]