A
Eset, empresa de detecção proativa de ameaças, identificou o Guildma, um
poderoso trojan bancário também conhecido como Astaroth, bastante
prevalente na América Latina. Esse trojan voltado para o Brasil,
desenvolvido em Delphi, possui algumas técnicas inovadoras de execução e
ataque. Essa é sua maior campanha até o momento.
O
Guildma é um trojan bancário da América Latina que tem como alvo o
Brasil. A Eset acredita que esse é o mais impactante e avançado trojan
bancário na região. Além de ter instituições financeiras como alvo, o
Guildma também tenta roubar credenciais por meio de e-mails, compras
online e serviços de streaming, e afeta pelo menos 10 vezes mais vítimas
do que outros trojans bancários existentes na América Latina. Ele usa
métodos inovadores de execução e técnicas sofisticadas de ataque.
Diferentemente
de outros trojans bancários que surgiram na América Latina, o Guildma
não armazena as janelas pop-up falsas que usa dentro do código binário.
Em vez disso, o ataque é orquestrado pelos seus servidores de C&C
(Comando e Controle). Isso dá ao autor uma ótima flexibilidade para
reagir a medidas implementadas pelos bancos-alvos.
O Guildma implementa as seguintes funcionalidades de backdoor:
• Faz captura de tela
• Captura as teclas pressionadas
• Emula teclado e mouse
• Bloqueia atalhos e também desabilita o Alt + F4 para dificultar sair de janelas falsas que ele mostra
• Faz download e executa arquivos
• Reinicia a máquina
Como ele se espalha
A Eset
descobriu que o Guildma se espalha exclusivamente por spam com anexos
maliciosos. Abaixo, dois exemplos de uma campanha de meados de novembro
de 2019.
Uma
das características que definem o Guildma é a disseminação de correntes
usando ferramentas já presentes no sistema, frequentemente de maneiras
novas e incomuns. Outra característica é a reutilização de técnicas
usadas em versões anteriores.
Detecções
As
campanhas aumentaram vagarosamente até o surgimento de um ataque
massivo, em agosto de 2019, quando a Eset identificou mais de 50 mil
amostras por dia. Essa campanha ficou ativa por quase dois meses e
contabilizou mais que o dobro de detecções que tínhamos visto nos 10
meses anteriores.
Histórico da versão
Aparentemente,
o Guildma tem passado por muitas versões durante sua trajetória, mas
geralmente ha muito pouco desenvolvimento entre elas – devido à sua
arquitetura desajeitada, que utiliza valores de configuração
codificados, na maioria dos casos os autores precisam recompilar todos
os códigos binários para cada nova campanha. Um trabalho que claramente
não é completamente automatizado, já que muitas vezes houve um atraso
significativo entre atualização do número da versão nos scripts e os
binários.
A
versão analisada pela Eset é a de número 150, mas desde que a pesquisa
começou, outras duas versões foram lançadas. Elas não contêm mudanças
significativas na funcionalidade ou distribuição, apoiando nossas
reivindicações sobre o ciclo de desenvolvimento do Guildma.
Similaridades com outros ataques
Esse
ataque usa as mídias sociais para se distribuir. Ele abusa dos perfis do
YouTube e do Facebook. Entretanto, os autores pararam de usar o
Facebook quase que imediatamente e, na época dessa pesquisa, os
criminosos estavam focados no YouTube. O caso é parecido com o
Casbaneiro, mas um pouco mais cru. Enquanto o Casbaneiro estava
escondendo os dados em descrições de vídeos e ocultando-os como parte da
URL, o Guildma simplesmente coloca os dados na descrição do canal. O
início e o fim da encriptação de endereços C&C é delimitado por
“|||”. Os dados intermediários são codificados em base64 e
criptografados usando o algoritmo Mispadu de criptografia em cadeia.
Esse é o principal método de recuperação de servidores de C&C, o
método mais antigo (descrito pela Avast) ainda está presente como um
backup.
Conclusão
O
Guildma mais uma vez compartilha das características predominantes dos
trojans bancários da América Latina. Ele é escrito em Delphi, tem a
região como alvo, implementa funcionalidades backdoor, divide suas
funcionalidades em diferentes módulos e abusa de ferramentas legítimas.
O
Guildma também compartilha interessantes características comuns às
famílias descritas anteriormente. Ou seja, seu atual algoritmo de
criptografia combina os usados por Casbaneiro e Mispadu.
Com informações Diário do Nordeste
