Ihre Forscher ESET, nach neueren Analysen von Banking-Trojaner Lateinamerika betreffend, ging zu seiner Anatomie über Gildema.
Σinsbesondere ging es um die Anatomie der mächtigsten und fortschrittlichsten Banking-Trojaner denen sie in dieser Gegend jemals von dieser Gruppe begegnet waren: die Gildema. Diese Malware zielt speziell auf Bankinstitute ab und versucht, Anmeldeinformationen für E-Mail-Konten, E-Shops und Streaming-Dienste in Brasilien zu stehlen.
Es hat mindestens zehnmal mehr Opfer infiziert als andere lateinamerikanische Bank-Trojaner, die von analysiert wurden ESET. Während der Boomphase – einer riesigen Kampagne im Jahr 2019 – hatte ESET bis zu 50.000 Angriffe pro Tag registriert. Guildma verbreitet sich ausschließlich durch unerwünschte E-Mails mit bösartigen Anhängen.
In einer seiner neuesten Versionen nutzte Guildma eine neue Methode zur Verteilung von Befehls- und Kontrollservern und missbrauchte Profile auf YouTube und Facebook. Die Betreiber stellten jedoch fast sofort die Nutzung von Facebook ein und verlassen sich zumindest zu diesem Zeitpunkt vollständig auf YouTube.
«Guildma verwendet sehr innovative Ausführungsmethoden und ausgeklügelte Angriffstechniken. Der eigentliche Angriff wird vom C&C-Server orchestriert. So können ihre Betreiber flexibler auf die Abwehrmaßnahmen der Banken bei Angriffen reagierenErklärt Robert Šuman, ESET-Forscher, der das Analyseteam von Guildma leitet.
Guildma hat mehrere Backdoor-Funktionen, wie das Aufnehmen von Screenshots, das Aufzeichnen von Tastenanschlägen, das Simulieren von Maus- und Tastaturfunktionen, das Blockieren von Tastenkombinationen (wie das Deaktivieren von Alt + F4, um das Verschwinden von gefälschten Fenstern zu erschweren) und / oder einen Neustart.
Darüber hinaus verfügt Guildma über eine hochmodulare Architektur, die derzeit aus mindestens 10 Modulen besteht. Die Malware verwendet Tools, die sich bereits auf dem Computer befinden, und verwendet ihre eigenen Methoden wieder. «Von Zeit zu Zeit werden neue Techniken hinzugefügt, aber zum größten Teil scheinen Entwickler nur Techniken aus älteren Versionen wiederzuverwenden.“, sagt Šuman.
In einer seiner ersten Ausgaben Gildema 2019 wurde die Möglichkeit hinzugefügt, Institute (hauptsächlich Banken) außerhalb Brasiliens anzusprechen. In den letzten 14 Monaten hat ESET jedoch keine internationalen Kampagnen außerhalb des Landes festgestellt. Tatsächlich gingen die Angreifer so weit, Downloads von IP-Adressen außerhalb Brasiliens zu blockieren.
Die Kampagnen von Guildma eskalierten langsam bis zur massiven Kampagne im August 2019, als das ESET-Forschungsteam bis zu 50.000 Proben pro Tag aufzeichnete. Diese Kampagne dauerte fast zwei Monate und erreichte mehr als das Doppelte der zehn Monate zuvor beobachteten Erkennungsrate.
[the_ad_group id = ”966 ″]
ΜVergessen Sie nicht, unserem Forum beizutreten (zu registrieren), was ganz einfach über den folgenden Button möglich ist…
(Wenn Sie bereits ein Konto in unserem Forum haben, müssen Sie dem Registrierungslink nicht folgen)
Tritt unserer Gemeinschaft bei
Folgen Sie uns auf Telegram!
