Sus investigadores ESET, según análisis recientes de troyanos bancarios que afecta a América Latina, se procedió a su anatomía Gremio.
Σen particular, procedió a la anatomía de los más poderosos y avanzados troyano bancario que alguna vez habían encontrado de este grupo en esa área: el Gremio. Este malware se dirige específicamente a las instituciones bancarias, tratando de robar credenciales para cuentas de correo electrónico, tiendas electrónicas y servicios de transmisión en Brasil.
Ha infectado al menos 10 veces más víctimas que otros troyanos bancarios latinoamericanos analizados por ESET. Durante el período de auge, una gran campaña en 2019, ESET registró hasta 50.000 ataques al día. Guildma se propaga exclusivamente a través de correos electrónicos no solicitados con archivos adjuntos maliciosos.
En uno de sus últimos lanzamientos, Guildma utilizó una nueva forma de distribuir servidores de comando y control, abusando de los perfiles en YouTube y Facebook. Sin embargo, sus operadores dejaron de usar Facebook casi de inmediato y, al menos en esta etapa, dependen completamente de YouTube.
«Guildma utiliza métodos de ejecución muy innovadores y técnicas de ataque sofisticadas. El ataque real está orquestado por el servidor de C&C. De esta forma, sus operadores pueden reaccionar con mayor flexibilidad a las contramedidas aplicadas por los bancos ante los ataques.Explica Robert Šuman, investigador de ESET que dirige el equipo de análisis de Guildma.
Guildma tiene múltiples funciones de puerta trasera, como tomar capturas de pantalla, grabar pulsaciones de teclas, simular funciones de mouse y teclado, bloquear atajos (como deshabilitar Alt + F4 para dificultar la desaparición de ventanas falsas) y / o reiniciar.
Además, Guildma tiene una arquitectura altamente modular, que actualmente consta de al menos 10 módulos. El malware usa herramientas que ya están en la máquina y reutiliza sus propios métodos. «De vez en cuando se agregan nuevas técnicas, pero en su mayor parte, los desarrolladores parecen estar reutilizando técnicas de versiones anteriores.", Dice Šuman.
En una de sus primeras ediciones Gremio en 2019, se agregó la posibilidad de apuntar a instituciones (principalmente bancos) fuera de Brasil. Sin embargo, durante los últimos 14 meses, ESET no ha detectado ninguna campaña internacional fuera del país. De hecho, los atacantes llegaron a bloquear descargas de direcciones IP fuera de Brasil.
Las campañas de Guildma se intensificaron lentamente hasta la campaña masiva en agosto de 2019, cuando el equipo de investigación de ESET registró hasta 50.000 muestras por día. Esta campaña continuó durante casi dos meses, alcanzando más del doble de la cantidad de detección observada 10 meses antes.
[the_ad_group id = ”966 ″]
ΜNo olvide unirse (registrarse) en nuestro foro, lo cual se puede hacer muy fácilmente con el siguiente botón ...
(Si ya tiene una cuenta en nuestro foro, no necesita seguir el enlace de registro)
¡Síguenos en Telegram!
