Guildma: programari maliciós bancari que utilitza el correu electrònic, Facebook i YouTube per propagar-se

Els seus investigadors ESET, segons anàlisis recents de troians bancaris afectant Amèrica Llatina, va procedir a la seva anatomia Guildma.

Σen particular, es va procedir a l'anatomia dels més potents i avançats troian bancari que s'havien trobat mai d'aquest grup en aquella zona: el Guildma. Aquest programari maliciós s'adreça específicament a les institucions bancàries, que intenten robar credencials per a comptes de correu electrònic, botigues electròniques i serveis de streaming al Brasil.

Ha infectat almenys 10 vegades més víctimes que altres troians bancaris llatinoamericans analitzats ESET. Durant el període de boom, una campanya enorme el 2019, ESET havia registrat fins a 50.000 atacs al dia. Guildma es propaga exclusivament a través de correus electrònics no sol·licitats amb fitxers adjunts maliciosos.

En un dels seus últims llançaments, Guildma va utilitzar una nova manera de distribuir servidors de comandament i control, abusant dels perfils a YouTube i Facebook. No obstant això, els seus operadors van deixar d'utilitzar Facebook gairebé immediatament i, almenys en aquesta etapa, depenen completament de YouTube.

«Guildma utilitza mètodes d'execució molt innovadors i tècniques d'atac sofisticades. L'atac real està orquestrat pel servidor C&C. D'aquesta manera, els seus operadors poden reaccionar amb més flexibilitat davant les contramesures que apliquen els bancs quan són atacatsExplica Robert Šuman, investigador d'ESET que dirigeix ​​l'equip d'anàlisi de Guildma.

Guildma té múltiples funcions de porta posterior, com ara fer captures de pantalla, gravar pulsacions de tecles, simular funcions del ratolí i del teclat, bloquejar les dreceres (com desactivar Alt + F4 per dificultar la desaparició de finestres falses) i/o reiniciar.

A més, Guildma té una arquitectura altament modular, que actualment consta d'almenys 10 mòduls. El programari maliciós utilitza eines que ja estan a la màquina i reutilitza els seus propis mètodes. «De tant en tant s'afegeixen noves tècniques, però, en la seva majoria, sembla que els desenvolupadors estan reutilitzant tècniques de versions anteriors.", diu en Šuman.

En una de les seves primeres edicions Guildma el 2019, es va afegir la possibilitat d'orientar institucions (principalment bancs) fora del Brasil. Durant els últims 14 mesos, però, ESET no ha detectat cap campanya internacional fora del país. De fet, els atacants van arribar a bloquejar les descàrregues d'adreces IP fora del Brasil.

Les campanyes de Guildma van augmentar lentament fins a la campanya massiva de l'agost de 2019, quan l'equip de recerca d'ESET va registrar fins a 50.000 mostres per dia. Aquesta campanya va continuar durant gairebé dos mesos, arribant a més del doble de la quantitat de detecció observada 10 mesos abans.

Font