محققان او ESET، بر اساس تحلیل های اخیر از تروجان های بانکی آمریکای لاتین را تحت تأثیر قرار داد، به سمت آناتومی آن پیش رفت گیلدما.
Σبه طور خاص، به آناتومی قوی ترین و پیشرفته ترین ها ادامه داد تروجان بانکی که تا به حال از این گروه در آن منطقه با آن برخورد کرده بودند: گیلدما. این بدافزار به طور خاص مؤسسات بانکی را هدف قرار می دهد و سعی می کند اعتبار حساب های ایمیل، فروشگاه های الکترونیکی و خدمات استریم در برزیل را بدزدد.
این ویروس حداقل 10 برابر بیشتر از سایر تروجان های بانکداری آمریکای لاتین مورد تجزیه و تحلیل قرار گرفته است ESET. در طول دوره رونق - یک کمپین بزرگ در سال 2019 - ESET روزانه 50.000 حمله را ثبت کرده بود. گیلدما منحصراً از طریق ایمیل های ناخواسته با پیوست های مخرب منتشر می شود.
Guildma در یکی از آخرین نسخههای خود، از روش جدیدی برای توزیع سرورهای فرمان و کنترل استفاده کرد و از پروفایلها در یوتیوب و فیسبوک سوء استفاده کرد. با این حال، اپراتورهای آن تقریباً بلافاصله استفاده از فیس بوک را متوقف کردند و حداقل در این مرحله، کاملاً به YouTube متکی هستند.
«گیلدما از روش های اجرایی بسیار نوآورانه و تکنیک های حمله پیچیده استفاده می کند. حمله واقعی توسط سرور C&C سازماندهی شده است. به این ترتیب، اپراتورهای آن می توانند با انعطاف پذیری بیشتری نسبت به اقدامات متقابل اعمال شده توسط بانک ها در هنگام حمله واکنش نشان دهند.رابرت شومان، محقق ESET که تیم تحلیل گیلدما را رهبری می کند، توضیح می دهد.
Guildma چندین عملکرد در پشتی دارد، مانند گرفتن اسکرین شات، ضبط ضربه های کلید، شبیه سازی عملکردهای ماوس و صفحه کلید، مسدود کردن میانبرها (مانند غیرفعال کردن Alt + F4 برای سخت تر کردن ناپدید شدن پنجره های جعلی) و/یا راه اندازی مجدد.
علاوه بر این، Guildma دارای معماری بسیار ماژولار است که در حال حاضر از حداقل 10 ماژول تشکیل شده است. این بدافزار از ابزارهایی استفاده میکند که از قبل روی دستگاه هستند و از روشهای خاص خود دوباره استفاده میکنند. «تکنیکهای جدید هر از گاهی اضافه میشوند، اما در بیشتر موارد، به نظر میرسد که توسعهدهندگان فقط از تکنیکهای نسخههای قدیمیتر استفاده مجدد میکنند.شومان می گوید.
در یکی از اولین چاپ هایش گیلدما در سال 2019، امکان هدف قرار دادن موسسات (عمدتا بانک ها) در خارج از برزیل اضافه شد. با این حال، در 14 ماه گذشته، ESET هیچ کمپین بین المللی در خارج از کشور شناسایی نکرده است. در واقع، مهاجمان تا آنجا پیش رفتند که دانلودها از آدرس های IP خارج از برزیل را مسدود کردند.
کمپینهای گیلدما تا کمپین عظیم در آگوست 2019 افزایش یافت، زمانی که تیم تحقیقاتی ESET روزانه 50.000 نمونه را ثبت کرد. این کمپین تقریباً دو ماه ادامه یافت و به بیش از دو برابر میزان شناسایی مشاهده شده در 10 ماه قبل رسید.
[شناسه گروه_بسته = "966]