Компанія ESET — лідер в галузі інформаційної безпеки — попереджає про виявлення складного банківського трояна Guildma, цілями якого є переважно банківські установи. Шкідливе програмне забезпечення викрадає дані для входу в облікові записи електронної пошти, електронних магазинів та стрімінгових сервісів. Загроза поширюється виключно за допомогою спам-повідомлень зі шкідливими вкладеннями.
На відміну від раніше виявлених банківських троянів, кількість жертв від цієї загрози щонайменше в 10 разів більша. Під час найбільшої активності Guildma у 2019 році спеціалісти ESET виявляли до 50 000 атак щодня.
В одній із останніх версій банківського трояна Guildma зловмисники використовували несанкціонований доступ до профілів YouTube та Facebook як новий спосіб поширення командних серверів (C&C). Однак кіберзлочинці швидко припинили використовувати Facebook і залежать виключно від YouTube.
«Зловмисники використовують інноваційні та складні прийоми для здійснення атак, зокрема ця атака організована з використанням їх командного сервера. Таким чином кіберзлочинці розширюють можливості реагування на запобіжні заходи, які впроваджують банки», — пояснюють дослідники ESET.
Загроза володіє функціоналом бекдора, дозволяючи робити знімки екрана, записувати натискання клавіш, імітувати натискання клавіатури та миші, блокувати поєднання певних клавіш, завантажувати та виконувати файли, а також перезавантажувати пристрій. Банківський троян складається мінімум з 10 модулів. Крім власних методів, зловмисники можуть використовувати інструменти, які вже є на пристрої користувача.
«Іноді додаються нові методи інфікування, але, здебільшого, кіберзлочинці повторно використовують методи зі старих версій», — коментують дослідники ESET.
Здебільшого цілями банківського трояна є банківські установи в Бразилії. Але в одній із попередніх версій 2019 року автори Guildma додали нову можливість націлюватися на установи (переважно банки) за межами Бразилії. Незважаючи на це, протягом останніх 14 місяців дослідники ESET не зафіксували жодних кампаній в інших країнах. Зловмисники намагалися заблокувати будь-які завантаження з небразильських IP-адрес.
Активність цієї загрози зростає з кожним днем, досягнувши розмірів масштабної кампанії у серпні 2019 року, коли дослідники ESET фіксували до 50 000 зразків щодня. Під час цієї кампанії, яка тривала майже два місяці, було зафіксовано вдвічі більше виявлень, ніж за попередні 10 місяців. Може здатися, що за увесь час було виявлено досить багато версій трояна, однак насправді вони мало чим відрізнялися.
Додаткова інформація про банківський троян Guildma та ідентифікатори компрометації доступні за посиланням.