Οι ερευνητές της ESET, κατά τις πρόσφατες αναλύσεις των banking Trojans που πλήττουν τη Λατινική Αμερική, προχώρησαν στην ανατομία του πιο ισχυρού και προηγμένου banking Trojan που είχαν ποτέ συναντήσει από αυτή την ομάδα στη συγκεκριμένη περιοχή: το Guildma. Αυτό το κακόβουλο λογισμικό στοχεύει ειδικά τα τραπεζικά ιδρύματα, προσπαθώντας να κλέψει τα διαπιστευτήρια για λογαριασμούς ηλεκτρονικού ταχυδρομείου, e-shops και υπηρεσίες streaming στη Βραζιλία. Έχει μολύνει τουλάχιστον 10 φορές περισσότερα θύματα συγκριτικά με άλλα banking Trojans της Λατινικής Αμερικής που έχει αναλύσει η ESET. Κατά την περίοδο έξαρσης - μια τεράστια εκστρατεία το 2019 - η ESET είχε καταγράψει έως και 50.000 επιθέσεις την ημέρα. Το Guildma εξαπλώνεται αποκλειστικά μέσω ανεπιθύμητων ηλεκτρονικών μηνυμάτων με κακόβουλα συνημμένα.
Σε μία από τις τελευταίες εκδόσεις του, το Guildma χρησιμοποίησε ένα νέο τρόπο διανομής των command and control servers, κάνοντας κατάχρηση προφίλ σε YouTube και Facebook. Ωστόσο, οι χειριστές του σταμάτησαν να χρησιμοποιούν το Facebook σχεδόν αμέσως και, τουλάχιστον στην παρούσα φάση, βασίζονται πλήρως στο YouTube.
«Το Guildma χρησιμοποιεί πολύ πρωτοποριακές μεθόδους εκτέλεσης και εξελιγμένες τεχνικές επίθεσης. Η πραγματική επίθεση ενορχηστρώνεται από τον C&C server. Με τον τρόπο αυτό, οι χειριστές του μπορούν να αντιδράσουν με μεγαλύτερη ευελιξία στα αντίμετρα που εφαρμόζουν οι τράπεζες όταν δέχονται επίθεση», εξηγεί ο Robert Šuman, ο ερευνητής της ESET που ηγείται της ομάδας που αναλύει το Guildma.
Το Guildma διαθέτει πολλαπλές λειτουργίες backdoor, όπως να κάνει λήψεις screenshot, να καταγράφει πληκτρολογήσεις, να προσομοιώνει λειτουργίες του ποντικιού και του πληκτρολογίου, να μπλοκάρει συντομεύσεις (όπως απενεργοποίηση του Alt + F4, για να δυσκολεύει την εξαφάνιση των ψεύτικων παράθυρων που μπορεί να εμφανίζει), και/ή να κάνει reboot. Επιπλέον, το Guildma διαθέτει εξαιρετικά αρθρωτή αρχιτεκτονική, αποτελούμενο, σήμερα, από τουλάχιστον 10 modules. Το malware χρησιμοποιεί εργαλεία που υπάρχουν ήδη στο μηχάνημα και επαναχρησιμοποιεί τις δικές του μεθόδους. «Από καιρό σε καιρό προστίθενται νέες τεχνικές, αλλά, ως επί το πλείστον, οι προγραμματιστές φαίνεται απλώς να επαναχρησιμοποιούν τεχνικές από παλαιότερες εκδόσεις», λέει ο Šuman.
Σε μία από τις πρώτες εκδόσεις του Guildma το 2019, είχε προστεθεί η δυνατότητα στόχευσης ιδρυμάτων (κυρίως τράπεζες) και εκτός Βραζιλίας. Παρόλα αυτά, τους τελευταίους 14 μήνες, η ESET δεν έχει εντοπίσει διεθνείς εκστρατείες εκτός της συγκεκριμένης χώρας. Μάλιστα, οι επιτιθέμενοι έφθασαν μέχρι το σημείο του να μπλοκάρουν λήψεις από διευθύνσεις IP εκτός Βραζιλίας.
Οι εκστρατείες του Guildma κλιμακώνονταν αργά μέχρι την τεράστια εκστρατεία τον Αύγουστο του 2019, όταν η ομάδα Ερευνών της ESET κατέγραψε έως και 50.000 δείγματα ανά ημέρα. Αυτή η εκστρατεία συνεχίστηκε για σχεδόν δύο μήνες, φτάνοντας σε περισσότερο από το διπλάσιο του ποσού ανίχνευσης που είχε παρατηρηθεί 10 μήνες πριν.
Πρώτο στάδιο ανιχνεύσεων του Guildma από τον Ιούλιο του 2019
Το trojan έχει αλλάξει πολλές εκδόσεις κατά τη διάρκεια της ανάπτυξής του, αλλά υπήρξε συνήθως πολύ μικρή εξέλιξη μεταξύ των εκδόσεων λόγω της «δύσκαμπτης» αρχιτεκτονικής του.
Διανομή του Guildma στην τελευταία έκδοση που ανέλυσε η ESET (150)
Η Guildma διαθέτει αρκετές από τις βασικές ιδιότητες που χαρακτηρίζουν τα banking trojans της Λατινικής Αμερικής. Για περισσότερες τεχνικές λεπτομέρειες, διαβάστε το blog post Guildma: The devil drives electric στο WeLiveSecurity. Όλες οι τελευταίες εξελίξεις βρίσκονται στο λογαριασμό της ομάδας ερευνητών της ESET στο Twitter.
Εδώ και 30 χρόνια, η αναπτύσσει λογισμικό και υπηρεσίες κορυφαίου επιπέδου για την ασφάλεια επιχειρήσεων και καταναλωτών σε όλο τον κόσμο. Οι λύσεις της ESET, που καλύπτουν ένα ευρύ φάσμα, από την προστασία endpoint και mobile, έως την κρυπτογράφηση και την πιστοποίηση διπλού παράγοντα, διακρίνονται για τις υψηλές επιδόσεις και την ευκολία στη χρήση, προσφέροντας σε καταναλωτές και επιχειρήσεις την ευκαιρία να απολαμβάνουν με ξεγνοιασιά όλες τις δυνατότητες της τεχνολογίας τους. Η ESET προστατεύει και παρακολουθεί όλο το 24ωρο αθόρυβα, προσαρμόζοντας και ανανεώνοντας τις άμυνες της σε πραγματικό χρόνο, ώστε οι χρήστες να είναι ασφαλείς και οι επιχειρήσεις να λειτουργούν αδιάκοπα. Οι απειλές μεταβάλλονται διαρκώς και απαιτούν μια εταιρεία IT ασφάλειας που μπορεί να εξελίσσεται. Διαθέτει παγκοσμίως κέντρα R&D που την υποστηρίζουν, και αποτελεί την πρώτη εταιρεία ασφάλειας IT που έχει φτάσει τον αριθμό των 100 βραβείων Virus Bulletin VB100, χωρίς να έχει χάσει ούτε ένα «in-the-wild» ιό από το 2003. Η ESET διαθέτει τοπικά γραφεία σε Αθήνα και Λευκωσία, καθώς κι ένα εκτεταμένο δίκτυο συνεργατών σε Ελλάδα και Κύπρο. Για περισσότερες πληροφορίες επισκεφθείτε το.
| |