Компания ESET — лидер в области информационной безопасности — предупреждает о выявлении сложного банковского трояна Guildma, целями которого являются преимущественно банковские учреждения. Вредоносное программное обеспечение похищает данные для входа в учетные записи электронной почты, электронных магазинов и стриминговых сервисов. Угроза распространяется исключительно с помощью спам-сообщений с вредоносными вложениями.
В отличие от ранее выявленных банковских троянов, количество жертв от этой угрозы по меньшей мере в 10 раз больше. Во время наибольшей активности Guildma в 2019 году специалисты ESET выявляли до 50 000 атак ежедневно.
В одной из последних версий банковского трояна Guildma злоумышленники использовали несанкционированный доступ к профилям YouTube и Facebook как новый способ распространения командных серверов (C&C). Однако киберпреступники быстро прекратили использовать Facebook и зависят исключительно от YouTube.
«Злоумышленники используют инновационные и сложные приемы для осуществления атак, в частности эта атака организована с использованием их командного сервера. Таким образом киберпреступники расширяют возможности реагирования на меры, которые внедряют банки», — объясняют исследователи ESET.
Угроза обладает функционалом бэкдора, позволяя делать снимки экрана, записывать нажатия клавиш, имитировать нажатия клавиатуры и мыши, блокировать сочетание определенных клавиш, загружать и выполнять файлы, а также перезагружать устройство. Банковский троян состоит минимум из 10 модулей. Кроме собственных методов, злоумышленники могут использовать инструменты, которые уже есть на устройстве пользователя.
«Иногда добавляются новые методы заражения, но, в основном, киберпреступники повторно используют методы из старых версий», — комментируют исследователи ESET.
В основном целями банковского трояна являются банковские учреждения в Бразилии. Но в одной из предыдущих версий 2019 года авторы Guildma добавили новую возможность нацеливаться на учреждения (преимущественно банки) за пределами Бразилии. Несмотря на это, в течение последних 14 месяцев исследователи ESET не зафиксировали никаких кампаний в других странах. Злоумышленники пытались заблокировать любые загрузки с небразильских IP-адресов.
Активность этой угрозы растет с каждым днем, достигнув размеров масштабной кампании в августе 2019 года, когда исследователи ESET фиксировали до 50 000 образцов ежедневно. Во время этой кампании, которая длилась почти два месяца, было зафиксировано вдвое больше обнаружений, чем за предыдущие 10 месяцев. Может показаться, что за все время было обнаружено достаточно много версий трояна, однако на самом деле они мало чем отличались.
Дополнительная информация о банковском трояне Guildma и идентификаторы компрометации доступны по ссылке.