ギルドマ：メール、Facebook、YouTubeを使用して拡散するバンキングマルウェア

彼女の研究者 ESET、の最近の分析によると バンキングトロイの木馬 ラテンアメリカに影響を与え、その解剖学に進んだ ギルドマ.

Σ特に、最も強力で高度な解剖学に進みました バンキングトロイの木馬 彼らがその地域でこのグループから出会ったことがあること： ギルドマ。 このマルウェアは特に銀行機関を標的にしており、ブラジルの電子メールアカウント、eショップ、ストリーミングサービスの資格情報を盗もうとしています。

によって分析された他のラテンアメリカの銀行トロイの木馬よりも少なくとも10倍多くの犠牲者に感染しています。 ESET。 ブーム期間中（2019年の大規模なキャンペーン）、ESETは50.000日に最大XNUMX件の攻撃を記録しました。 Guildmaは、悪意のある添付ファイルを含む迷惑メールのみを介して拡散します。

最新リリースのXNUMXつで、Guildmaは、コマンドアンドコントロールサーバーを配布する新しい方法を使用し、YouTubeとFacebookのプロファイルを悪用しました。 ただし、そのオペレーターはFacebookの使用をほぼ即座に停止し、少なくともこの段階では、完全にYouTubeに依存しています。

«Guildmaは、非常に革新的な実行方法と高度な攻撃手法を使用しています。 実際の攻撃は、C＆Cサーバーによって調整されます。 このように、そのオペレーターは、攻撃されたときに銀行によって適用された対策により柔軟に対応することができますギルドマ分析チームを率いるESETの研究者であるRobertŠumanについて説明します。

Guildmaには、スクリーンショットの撮影、キーストロークの記録、マウスとキーボードの機能のシミュレーション、ショートカットのブロック（Alt + F4を無効にして偽のウィンドウが消えにくくするなど）、再起動など、複数のバックドア機能があります。

さらに、Guildmaは高度にモジュール化されたアーキテクチャを備えており、現在少なくとも10個のモジュールで構成されています。 マルウェアは、すでにマシン上にあるツールを使用し、独自のメソッドを再利用します。 «新しい手法が時々追加されますが、ほとんどの場合、開発者は古いバージョンの手法を再利用しているようです。「、シュマンは言います。

その初版のXNUMXつで ギルドマ 2019年には、ブラジル国外の金融機関（主に銀行）をターゲットにする可能性が追加されました。 ただし、過去14か月間、ESETは国外での国際キャンペーンを検出していません。 実際、攻撃者はブラジル国外のIPアドレスからのダウンロードをブロックするところまで行きました。

Guildmaのキャンペーンは、2019年50.000月の大規模なキャンペーンまでゆっくりとエスカレートしました。このキャンペーンでは、ESETリサーチチームが10日あたり最大XNUMXサンプルを記録しました。 このキャンペーンはほぼXNUMXか月間続き、XNUMXか月前に観察された検出量のXNUMX倍以上に達しました。

ソース