W ramach swojej najnowszej analizy badacze ESET biorą pod lupę jednego z najbardziej zaawansowanych i rozpowszechnionych trojanów bankowych Ameryki Łacińskiej: Guildma. Wirus ten specjalizuje się w atakowaniu bankowości elektronicznej i kradzieży danych logowania do poczty e-mail, sklepów internetowych oraz usług streamingowych w Brazylii. Jego ofiarą pada przynajmniej dziesięciokrotnie więcej osób niż w przypadku innych południowoamerykańskich
trojanów bankowych przeanalizowanych przez ESET. W szczytowym okresie aktywności wirusa – olbrzymiej kampanii z 2019 roku – notowano nawet 50 000 ataków jednego dnia. Guildma rozprzestrzenia się wyłącznie poprzez wiadomości e-mail ze złośliwymi załącznikami.
W jednej z ostatnich wersji Guildma stosuje nową technikę dystrybucji adresów swoich serwerów sterujących (C&C), wykorzystującą w tym celu profile w serwisach YouTube oraz Facebook. Drugi z portali został przez twórców oprogramowania bardzo szybko porzucony, w związku z czym na tę chwilę korzystają oni wyłącznie z YouTube’a.
– Guildma wykorzystuje bardzo nietypową metodę wykonania kodu oraz wyszukane techniki ataku. Dla przykładu, trojan nie przechowuje fałszywych okien logowania do bankowości internetowej, tylko każdorazowo pobiera je z serwera sterującego. Daje to twórcom wirusa większą elastyczność w zakresie reakcji na wdrożone przez atakowany bank środki ochronne – tłumaczy Robert Šuman, lider zespołu badaczy ESET odpowiedzialnego za analizę Guildma.
Guildma może się pochwalić szerokim wachlarzem funkcjonalności backdoora, obejmującym m.in. możliwość wykonywania zrzutów ekranu, przechwytywania znaków wprowadzanych na klawiaturze, blokowania skrótów klawiszowych (np. blokowanie Alt + F4, dzięki czemu trudniej pozbyć się wyświetlanych przez wirusa fałszywych okienek), pobieranie plików wykonywalnych i/lub restartowanie komputera. Ponadto jednak Guildma pozostaje rozwiązaniem modularnym, które na chwilę obecną składa się z co najmniej 10 modułów. Zagrożenie korzysta w nietypowy sposób z narzędzi zastanych na zainfekowanym urządzeniu, poza tym wykorzystuje te same techniki infekcji.
– Twórcy od czasu do czasu dodają do oprogramowania nowe techniki, jednak w większości bazują na tych, które wdrożyli już we wcześniejszych wersjach – mówi Robert Šuman.
W jednej z wcześniejszych wersji z 2019 roku twórcy rozbudowali Guildma o możliwości ataku usług bankowości elektronicznej poza Brazylią. Mimo to w ciągu ostatnich 14 miesięcy badacze ESET nie zaobserwowali żadnych zorganizowanych kampanii na użytkowników w innych państwach. Na pewnym etapie przestępcy poszli nawet o krok dalej, blokując możliwość pobrania trojana z adresów IP innych niż brazylijskie.
Kampanie z wykorzystaniem Guildma nabierały rozpędu powoli. Zmieniło się to w sierpniu 2019 roku. Wtedy to nastąpił znaczny skok w liczbie infekcji, a badacze ESET notowali nawet do 50 000 próbek w ciągu jednego dnia. Omawiana kampania trwała blisko dwa miesiące, generując przez ten czas ponad dwukrotnie więcej zgłoszeń niż zaobserwowano w ciągu wcześniejszych 10 miesięcy.
Ze względu na chaotyczną architekturę trojana powstało wiele jego różnych wersji, które wprowadzały zwykle jedynie minimalne zmiany.
Guildma posiada wiele cech charakterystycznych dla trojanów bankowych z Ameryki Łacińskiej. Po więcej szczegółów technicznych na temat zagrożenia zapraszamy do artykułu Guildma: The devil drives electric (EN) na blogu WeLiveSecurity oraz zachęcamy do obserwowania profilu ESET na Facebooku.