Les chercheurs d’ESET ont décortiqué le cheval de Troie bancaire latino-américain le plus redoutable et avancé qu’ils n’aient jamais rencontré dans cette catégorie et cette région : Guildma. Ce malware cible spécifiquement les institutions bancaires et tente de voler les identifiants des comptes e-mail, des boutiques en ligne et des services de streaming au Brésil. Il affecte au moins 10 fois plus de victimes que les autres chevaux de Troie latino-américains analysés par ESET Research. Lors d’une campagne massive en 2019, ESET a enregistré jusqu’à 50 000 attaques par jour. Guildma se propage exclusivement via des e-mails indésirables comportant des pièces jointes malveillantes.
L’une des dernières versions de Guildma utilise une nouvelle façon de distribuer les serveurs de commande et contrôle, en se servant de YouTube et de profils Facebook. Cependant, les auteurs ont presque immédiatement arrêté d’utiliser Facebook et se servent uniquement de YouTube, du moins pour le moment.
« Guildma emploie des méthodes d’exécution très innovantes et des techniques d’attaque sophistiquées. L’attaque proprement dite est orchestrée par son serveur C&C. Cela offre aux auteurs une plus grande flexibilité pour réagir aux contre-mesures mises en place par les banques ciblées », explique Robert Šuman, ESET Researcher responsable de l’équipe d’analyse de Guildma.
Guildma comprend une backdoor avec différentes fonctionnalités, notamment la réalisation de captures d’écran, l’enregistrement des frappes, l’émulation du clavier et de la souris, le blocage de raccourcis clavier (désactivation de la combinaison Alt + F4 par exemple, pour rendre plus difficile la fermeture des fausses fenêtres créées), le téléchargement et l’exécution de fichiers, et/ou le redémarrage de l’ordinateur. Par ailleurs, Guildma est très modulaire et est actuellement composé d’au moins 10 modules. Le malware utilise les outils déjà présents sur l’ordinateur et réutilise ses propres techniques. « Les développeurs ajoutent parfois de nouvelles techniques, mais recyclent en grande partie celles des anciennes versions », indique Robert Šuman.
Dans l’une des versions précédentes de 2019, Guildma a été doté de la capacité à cibler des institutions (principalement bancaires) en dehors du Brésil. Malgré cela, ESET n’a pas observé de campagnes internationales ailleurs qu’au Brésil au cours des 14 derniers mois. Les attaquants ont même bloqué tout téléchargement à partir des adresses IP non brésiliennes.
Le nombre de campagnes Guildma a augmenté progressivement jusqu’à une campagne massive en août 2019, durant laquelle ESET Research a enregistré jusqu’à 50 000 échantillons par jour. Cette campagne a duré près de deux mois et a engendré un nombre de détections plus de deux fois supérieur à celui observé au cours des 10 mois précédents.
Détections de Guildma en phase initiale depuis juillet 2019
Guildma a connu de nombreuses versions, avec cependant peu d’évolution d’une version à l’autre en raison de l’architecture compliquée de ce cheval de Troie.
Chaîne de distribution de la dernière version de Guildma analysée par ESET (150)
Guildma possède les principales caractéristiques communes aux chevaux de Troie bancaires latino-américains. Pour plus d’informations techniques, consultez l’article « Guildma: The devil drives electric » sur WeLiveSecurity. Suivez ESET Research sur Twitter pour rester informé(e) des derniers travaux de recherche d’ESET.