Банківський троян Guildma атакує фінустанови

ESET — попереджає про виявлення складного банківського трояна Guildma, цілями якого є переважно банківські установи.

Шкідливе програмне забезпечення викрадає дані для входу в облікові записи електронної пошти, електронних магазинів та стрімінгових сервісів. Загроза поширюється виключно за допомогою спам-повідомлень зі шкідливими вкладеннями.

На відміну від раніше виявлених банківських троянів, кількість жертв від цієї загрози щонайменше в 10 разів більша. Під час найбільшої активності Guildma у 2019 році спеціалісти ESET виявляли до 50 000 атак щодня.

В одній із останніх версій банківського трояна Guildma зловмисники використовували несанкціонований доступ до профілів YouTube та Facebook як новий спосіб поширення командних серверів (C&C). Однак кіберзлочинці швидко припинили використовувати Facebook і залежать виключно від YouTube.

“Зловмисники використовують інноваційні та складні прийоми для здійснення атак, зокрема ця атака організована з використанням їх командного сервера. Таким чином кіберзлочинці розширюють можливості реагування на запобіжні заходи, які впроваджують банки”, — пояснюють дослідники ESET.

Загроза володіє функціоналом бекдора, дозволяючи робити знімки екрана, записувати натискання клавіш, імітувати натискання клавіатури та миші, блокувати поєднання певних клавіш, завантажувати та виконувати файли, а також перезавантажувати пристрій. Банківський троян складається мінімум з 10 модулів. Крім власних методів, зловмисники можуть використовувати інструменти, які вже є на пристрої користувача.

“Іноді додаються нові методи інфікування, але, здебільшого, кіберзлочинці повторно використовують методи зі старих версій”, — коментують дослідники ESET.

Здебільшого цілями банківського трояна є банківські установи в Бразилії. Але в одній із попередніх версій 2019 року автори Guildma додали нову можливість націлюватися на установи (переважно банки) за межами Бразилії. Незважаючи на це, протягом останніх 14 місяців дослідники ESET не зафіксували жодних кампаній в інших країнах. Зловмисники намагалися заблокувати будь-які завантаження з небразильських IP-адрес.

Активність цієї загрози зростає з кожним днем, досягнувши розмірів масштабної кампанії у серпні 2019 року, коли дослідники ESET фіксували до 50 000 зразків щодня. Під час цієї кампанії, яка тривала майже два місяці, було зафіксовано вдвічі більше виявлень, ніж за попередні 10 місяців. Може здатися, що за увесь час було виявлено досить багато версій трояна, однак насправді вони мало чим відрізнялися.

Додаткова інформація про банківський троян Guildma та ідентифікатори компрометації доступні за посиланням.

Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:

• ЯК БЕЗПЕЧНО КОРИСТУВАТИСЯ ПУБЛІЧНИМ WI-FI? ПОРАДИ ДЛЯ ЗАХИСТУ ВАШИХ ДАНИХ

• ЗАХИСТ ЕКАУНТА В СОЦМЕРЕЖАХ: ЯК ЗАПОБІГТИ ВТРАТІ ДАНИХ?

• ЯК НАЛАШТУВАТИ ПРИВАТНІСТЬ У FACEBOOK? – ІНСТРУКЦІЯ

• ЧИМ ЗАГРОЖУЄ ВАМ СОЦІАЛЬНА ІНЖЕНЕРІЯ ТА ЯК НЕ СТАТИ ЖЕРТВОЮ “СОЦІАЛЬНОГО ХАКЕРА”?

• ЯК ВБЕРЕГТИСЯ ВІД ОНЛАЙН-ШАХРАЇВ ПІД ЧАС СПІЛКУВАННЯ У ДОДАТКАХ ДЛЯ ЗНАЙОМСТВ?

• СМАРТФОН ANDROID У ЯКОСТІ ЕЛЕКТРОННОГО КЛЮЧА БЕЗПЕКИ: ЯК НАЛАШТУВАТИ?

Нагадаємо, використовуючи реквізити платіжних карток громадян інших держав, зловмисник купував товари в Інтернет-магазинах. Далі продавав їх у соціальних мережах українцям.

Окрім цього, прогалини в безпеці знайдені в продуктах Amazon, Apple, Google, Samsung, Raspberry, Xiaomi, а також точках доступу від Asus і Huawei.

До речі, рекламні агенції, що надавали послуги з розміщення реклами, в тому числі на сайтах онлайн-кінотеатрів, своєю діяльністю забезпечували функціонування ресурсів з піратським контентом.

Також довгий час більшість користувачів вважали, що загроз для Linux значно менше, ніж для Windows чи macOS. Однак останнім часом комп’ютерні системи та додатки на базі цієї операційної системи все частіше стають об’єктами атак кіберзлочинців.