ESET researchers, during the recent analyzes of banking Trojans affecting Latin America, proceeded to dissect Guildma, the most powerful and advancedυ banking Trojan that they had ever encountered of this group in that particular area.
Αυτό το κακόβουλο λογισμικό στοχεύει ειδικά τα τραπεζικά ιδρύματα, προσπαθώντας να κλέψει τα διαπιστευτήρια για λογαριασμούς ηλεκτρονικού ταχυδρομείου, e-shops και υπηρεσίες streaming στη Βραζιλία. Έχει μολύνει τουλάχιστον 10 φορές περισσότερα θύματα συγκριτικά με άλλα banking Trojans της Λατινικής Αμερικής που έχει αναλύσει η ESET. Κατά την περίοδο έξαρσης - μια τεράστια εκστρατεία το 2019 - η ESET είχε καταγράψει έως και 50.000 επιθέσεις την ημέρα. Το Guildma εξαπλώνεται αποκλειστικά μέσω ανεπιθύμητων ηλεκτρονικών μηνυμάτων με κακόβουλα συνημμένα.
In one of its latest releases, Guildma used a new way of distributing the command and control servers, abusing profiles in YouTube and Facebook. However, its operators stopped using Facebook almost immediately and, at least at this stage, rely entirely on YouTube.
"Guildma uses very innovative execution methods and sophisticated attack techniques. The actual attack is orchestrated by the C&C server. In this way, its operators can react more flexibly to the countermeasures taken by banks when attacked, "said Robert Šuman, ESET researcher who leads the Guildma analysis team.
Guildma has multiple backdoor functions, such as taking screenshots, recording keystrokes, simulating mouse and keyboard operations, blocking shortcuts (όπως απενεργοποίηση του Alt + F4, για να δυσκολεύει την εξαφάνιση των ψεύτικων παράθυρων που μπορεί να εμφανίζει), και/ή να κάνει reboot. Επιπλέον, το Guildma διαθέτει εξαιρετικά αρθρωτή αρχιτεκτονική, αποτελούμενο, σήμερα, από τουλάχιστον 10 modules. Το malware χρησιμοποιεί εργαλεία που υπάρχουν ήδη στο μηχάνημα και επαναχρησιμοποιεί τις δικές του μεθόδους. «Από καιρό σε καιρό προστίθενται νέες τεχνικές, αλλά, ως επί το πλείστον, οι προγραμματιστές φαίνεται απλώς να επαναχρησιμοποιούν τεχνικές από παλαιότερες εκδόσεις», λέει ο Šuman.
In one of the first editions of Guildma in 2019, the possibility of targeting institutions (mainly banks) outside Brazil was added. However, in the last 14 months, ESET has not detected any international campaigns outside the country. In fact, the attackers went so far as to block downloads from IP addresses outside Brazil.
Guildma's campaigns slowly escalated until the massive campaign in August 2019, when ESET's Research team recorded up to 50.000 samples per day. This campaign continued for approx two months, reaching more than double the detection amount seen 10 months earlier.
The trojan has changed many versions during its development, but there has usually been very little evolution between versions due to its "rigid" architecture.
Guildma has several of the key features of Latin American banking trojans. For more technical details, read the blog post «Guildma: The devil electric drives»On WeLiveSecurity.