کارشناسان کسپرسکی از حملات چهار تروجان بانکی گیلدما، جاوالی، ملکوز و گرندوریرو به کاربران آمریکایی و اروپایی خبر دادند.
به گفته کارشناسان این آزمایشگاه، این تروجانها که به نامهای گیلدما (Guildma)، جاوالی (Javali)، ملکوز (Melcoz) و گرندوریرو (Grandoreiro) شناخته میشوند خاستگاه برزیلی دارند و از متدهای نوین شناسایی و جمعآوری اطلاعات بهره میگیرند. این چهار تروجان بانکی از سوی محققان کسپرسکی گروه Tetrade نامگذاری شدهاند.
تروجان گیلدما که پنج سال پیش در برزیل ظهور کرده است، کاربران کشورهای آمریکای جنوبی، ایالاتمتحده آمریکا، پرتغال، اسپانیا را هدف قرار میدهد. این بدافزار از طریق ایمیلهای فیشینگ توزیعشده و پشت نقاب پیامهای اداری و رسمی و آگهیهای مختلف مخفی میشود.
این بدافزار قادر است با بهرهگیری از افزونههای خاص کدهای مخرب را در سیستم قربانی مخفی سازد. گیلدما میتواند اطلاعات پیکربندی مربوط به آدرسهای سرورهای کنترل را از طریق صفحات فیس بوک و یوتیوب دریافت کند.
تروجان جاوالی که از سال ۲۰۱۷ فعالیت میکند، کاربران ارز دیجیتال و مشتریان بانکهای مکزیک را هدف قرار داده و همچون گیلدما از طریق ایمیلهای فیشینگ پخش میشود. در حال حاضر نیز برای دریافت اطلاعات مربوط به سروهای فرمان از یوتیوب استفاده میکند.
بدافزار ملکوز نیز که از سال ۲۰۱۸ فعالیت خود را آغاز کرده است، کاربران مکزیک، اسپانیا و شیلی را هدف قرار میدهد. این خانواده علاوه بر سرقت اطلاعات مالی به مهاجمان دیگر نیز این امکان را میدهد به سیستمهای قربانیان از راه دور دسترسی داشته باشند.
گرندوریور نیز که شهرت بسیاری دارد در ابتدا فقط کاربران آمریکای لاتین را هدف قرار میداد، اما اکنون اروپا را نیز در جامعه هدف خود قرار داده است. این تروجان معمولاً از طریق سایتهای هک شده و حملات فیشینگ هدفمند توزیع میشود. گرندوریور بهعنوان سرویس ارائه میشود و بسیاری از هکرها با دسترسی به برخی ابزارهای آن حملات خود را تدارک میبینند.
طبق گزارش کسپرسکی، هکرهایی که پشت این چهار خانواده تروجان بانکی قرار دارند به دنبال مشتری در کشورهای دیگر هستند تا بدافزارهای خود را صادر کنند. این بدافزارها همواره قابلیتهای جدیدی کسب کرده و در حملات مختلف مورداستفاده قرار میگیرند.