Skip to main content
Hermes Banner 1
DIGITALTV 195
ilka aggelia
securityreport e mag odhgos 2021
6 Μαρτίου 2020 10:24

Guildma: Το banking trojan, που μέσω κατάχρησης του YouTube, έχει προκαλέσει τις μεγαλύτερες ζημιές στη Λατινική Αμερική

admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2022%2F05%2F9c6ea1684ca2eb5b0910bfc6fca23249 XL

Οι ερευνητές της ESET, κατά τις πρόσφατες αναλύσεις των banking Trojans που πλήττουν τη Λατινική Αμερική,  προχώρησαν στην ανατομία του πιο ισχυρού και προηγμένου banking Trojan που είχαν ποτέ συναντήσει από αυτή την ομάδα στη συγκεκριμένη περιοχή

Οι ερευνητές της ESET, κατά τις πρόσφατες αναλύσεις των banking Trojans που πλήττουν τη Λατινική Αμερική,  προχώρησαν στην ανατομία του πιο ισχυρού και προηγμένου banking Trojan που είχαν ποτέ συναντήσει από αυτή την ομάδα στη συγκεκριμένη περιοχή: το Guildma. Αυτό το κακόβουλο λογισμικό στοχεύει ειδικά τα τραπεζικά ιδρύματα, προσπαθώντας να κλέψει τα διαπιστευτήρια για λογαριασμούς ηλεκτρονικού ταχυδρομείου, e-shops και υπηρεσίες streaming στη Βραζιλία. Έχει μολύνει τουλάχιστον 10 φορές περισσότερα θύματα συγκριτικά με άλλα banking Trojans της Λατινικής Αμερικής που έχει αναλύσει η ESET. Κατά την περίοδο έξαρσης – μια τεράστια εκστρατεία το 2019 – η ESET είχε καταγράψει έως και 50.000 επιθέσεις την ημέρα. Το Guildma εξαπλώνεται αποκλειστικά μέσω ανεπιθύμητων ηλεκτρονικών μηνυμάτων με κακόβουλα συνημμένα. 

Σε μία από τις τελευταίες εκδόσεις του, το Guildma χρησιμοποίησε ένα νέο τρόπο διανομής των command and control servers, κάνοντας κατάχρηση προφίλ σε YouTube και Facebook. Ωστόσο, οι χειριστές του σταμάτησαν να χρησιμοποιούν το Facebook σχεδόν αμέσως και, τουλάχιστον στην παρούσα φάση, βασίζονται πλήρως στο YouTube.

«Το Guildma χρησιμοποιεί πολύ πρωτοποριακές μεθόδους εκτέλεσης και εξελιγμένες τεχνικές επίθεσης. Η πραγματική επίθεση ενορχηστρώνεται από τον C&C server. Με τον τρόπο αυτό, οι χειριστές του μπορούν να αντιδράσουν με μεγαλύτερη ευελιξία στα αντίμετρα που εφαρμόζουν οι τράπεζες όταν δέχονται επίθεση», εξηγεί ο Robert Šuman, ο ερευνητής της ESET που ηγείται της ομάδας που αναλύει το Guildma.

Το Guildma διαθέτει πολλαπλές λειτουργίες backdoor, όπως να κάνει λήψεις screenshot, να καταγράφει πληκτρολογήσεις, να προσομοιώνει λειτουργίες του ποντικιού και του πληκτρολογίου, να μπλοκάρει συντομεύσεις (όπως απενεργοποίηση του Alt + F4, για να δυσκολεύει την εξαφάνιση των ψεύτικων παράθυρων που μπορεί να εμφανίζει), και/ή να κάνει reboot. Επιπλέον, το Guildma διαθέτει εξαιρετικά αρθρωτή αρχιτεκτονική, αποτελούμενο, σήμερα, από τουλάχιστον 10 modules. Το malware χρησιμοποιεί εργαλεία που υπάρχουν ήδη στο μηχάνημα και επαναχρησιμοποιεί τις δικές του μεθόδους. «Από καιρό σε καιρό προστίθενται νέες τεχνικές, αλλά, ως επί το πλείστον, οι προγραμματιστές φαίνεται απλώς να επαναχρησιμοποιούν τεχνικές από παλαιότερες εκδόσεις», λέει ο Šuman.

Σε μία από τις πρώτες εκδόσεις του Guildma το 2019, είχε προστεθεί η δυνατότητα στόχευσης ιδρυμάτων (κυρίως τράπεζες) και εκτός Βραζιλίας. Παρόλα αυτά, τους τελευταίους 14 μήνες, η ESET δεν έχει εντοπίσει διεθνείς εκστρατείες εκτός της συγκεκριμένης χώρας. Μάλιστα, οι επιτιθέμενοι έφθασαν μέχρι το σημείο του να μπλοκάρουν λήψεις από διευθύνσεις IP εκτός Βραζιλίας.

Οι εκστρατείες του Guildma κλιμακώνονταν αργά μέχρι την τεράστια εκστρατεία τον Αύγουστο του 2019, όταν η ομάδα Ερευνών της ESET κατέγραψε έως και 50.000 δείγματα ανά ημέρα. Αυτή η εκστρατεία συνεχίστηκε για σχεδόν δύο μήνες, φτάνοντας σε περισσότερο από το διπλάσιο του ποσού ανίχνευσης που είχε παρατηρηθεί 10 μήνες πριν.

asas

Η Guildma διαθέτει αρκετές από τις βασικές ιδιότητες που χαρακτηρίζουν τα banking trojans της Λατινικής Αμερικής. Για περισσότερες τεχνικές λεπτομέρειες, διαβάστε το blog post «Guildma: The devil drives electric» στο WeLiveSecurity. Όλες οι τελευταίες εξελίξεις βρίσκονται στο λογαριασμό της ομάδας ερευνητών της ESET στο Twitter.

 

 

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Δεκέμβριος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Δεκεμβρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμέ...
Creta Electronix 2024
Με επιτυχία ολοκληρώθηκε το κλαδικό τριήμερο της Creta Electronix 2024! Η τοπική αγορά υποδέχθηκε για ακόμη μία φορά με ενθουσιασμό τη διοργάνωση της Libra Press και έδειξε έντονο ενδιαφέρον για τ...
Dahua Cloud
Η Dahua Technology αναβάθμισε πρόσφατα την ολοκληρωμένη και αποτελεσματική λύση δικτύου της Dahua Cloud. Η δικτυακή λύση Dahua Cloud είναι μια ολοκληρωμένη, γρήγορη, αποτελεσματική και ασφαλής υπη...
G.I. Security X RISCO
Το Security Report παρακολούθησε το τεχνικό σεμινάριο που διοργάνωσε η G.I. Security για να παρουσιάσει τα νέα συστήματα ασφαλείας και αυτοματισμού της RISCO. Την Παρασκευή, 18 Οκτωβρίου στον μ...
Συστήματα συναγερμού
Στην επίσημη ιστοσελίδα της ελληνικής αστυνομίας διαβάζουμε τα κριτήρια για την έκδοση αδείας σύνδεσης ή ανανέωσης συστημάτων συναγερμού με αστυνομικές υπηρεσίες. Η άδεια σύνδεσης ή ανανέωσης σ...
Uniview IP Video Intercom
H Uniview εισέρχεται δυναμικά και στον τομέα του IP Video Intercom, διαθέτοντας αρχικά συστήματα για απλές εφαρμογές, ενώ το επόμενο διάστημα θα παρουσιάσει πληθώρα μοντέλων και λύσεων, ικανών να ...
ELDES EWP-EXT, EWC1 & EWC1A
Εξαιρετικά χρήσιμοι για τη βελτίωση της ασφάλειας σπιτιών και επιχειρήσεων, οι αισθητήρες εξωτερικού χώρου της ELDES προσφέρουν προηγμένη ανίχνευση και άμεση ενημέρωση για κάθε ύποπτη κίνηση ή δρα...