她的研究员 ESET,根据最近的分析 银行特洛伊木马 影响拉丁美洲,继续剖析 公会.
Σ特别是,进行了最强大和最先进的解剖 银行特洛伊木马 他们曾在该地区遇到过这个群体: 公会. 该恶意软件专门针对银行机构,试图窃取巴西电子邮件帐户、电子商店和流媒体服务的凭据。
它感染的受害者至少是其他拉丁美洲银行木马的 10 倍 ESET. 在繁荣时期 - 2019 年的大规模活动 - ESET 每天记录的攻击高达 50.000 次。 Guildma 仅通过带有恶意附件的未经请求的电子邮件进行传播。
在其最新版本中,Guildma 使用了一种新的方式来分发命令和控制服务器,滥用 YouTube 和 Facebook 上的配置文件。 然而,其运营商几乎立即停止使用 Facebook,并且至少在现阶段完全依赖 YouTube。
«Guildma 使用非常创新的执行方法和复杂的攻击技术。 实际的攻击是由 C&C 服务器精心策划的。 通过这种方式,其运营商可以更灵活地应对银行在受到攻击时采取的应对措施领导 Guildma 分析团队的 ESET 研究员 Robert Šuman 解释道。
Guildma 具有多种后门功能,例如截屏、记录击键、模拟鼠标和键盘功能、阻止快捷方式(例如禁用 Alt + F4 使假窗口更难消失),和/或重新启动。
此外,Guildma 具有高度模块化的架构,目前至少由 10 个模块组成。 恶意软件使用机器上已有的工具并重用自己的方法。 «不时添加新技术,但在大多数情况下,开发人员似乎只是在重用旧版本的技术。”,苏曼说。
在它的第一个版本中 公会 2019 年,增加了针对巴西以外机构(主要是银行)的可能性。 然而,在过去的 14 个月里,ESET 没有检测到该国以外的任何国际活动。 事实上,攻击者甚至阻止了来自巴西境外 IP 地址的下载。
Guildma 的活动逐渐升级,直到 2019 年 50.000 月的大规模活动,当时 ESET 研究团队每天记录多达 10 个样本。 该活动持续了近两个月,达到了 XNUMX 个月前观察到的检测量的两倍多。
[the_ad_group id =“ 966”]