Home  >  Segurança

ESET alerta para trojan bancário: o mais avançado da América Latina

Segundo empresa de cibersegurança, trojan tem instituições financeiras como alvo e é tido como o mais impactante da região

Da Redação

05/03/2020 às 18h00

Foto: Shutterstock

A empresa de cibersegurança ESET revelou nesta quinta-feira (5) a descoberta do que caracterizou como um poderoso trojan bancário, chamado Guildma, também conhecido como Astaroth, que tem como alvo usuários no Brasil. Ele também é uma ameaça popular em toda a América Latina.

No Brasil, o trojan possui algumas técnicas inovadoras de execução e ataque. De acordo com a ESET, esse é o mais impactante e avançado trojan bancário na região. Além de ter instituições financeiras como alvo, o Guildma também tenta roubar credenciais por meio de e-mails, compras online e serviços de streaming, e afeta pelo menos 10 vezes mais vítimas do que outros trojans bancários existentes na América Latina.

Diferentemente de outros trojans bancários que surgiram, o Guildma não armazena as janelas pop-up falsas que usa dentro do código binário. Em vez disso, o ataque é orquestrado pelos seus servidores de C&C (Comando e Controle). Isso dá ao autor uma ótima flexibilidade para reagir a medidas implementadas pelos bancos-alvos.

Segundo a ESET, o Guildma implementa as seguintes funcionalidades de backdoor:

  • Faz captura de tela
  • Captura as teclas pressionadas
  • Emula teclado e mouse
  • Bloqueia atalhos e também desabilita o Alt + F4 para dificultar sair de janelas falsas que ele mostra
  • Faz download e executa arquivos
  • Reinicia a máquina

Como ele se espalha

A ESET descobriu que o Guildma se espalha exclusivamente por spam com anexos maliciosos. Uma das características que definem o Guildma é a disseminação de correntes usando ferramentas já presentes no sistema, frequentemente de maneiras novas e incomuns. Outra característica é a reutilização de técnicas usadas em versões anteriores.

Detecções

As campanhas aumentaram vagarosamente até o surgimento de um ataque massivo, em agosto de 2019, quando a ESET identificou mais de 50 mil amostras por dia. "Essa campanha ficou ativa por quase dois meses e contabilizou mais que o dobro de detecções que tínhamos visto nos 10 meses anteriores", informou a ESET.

Segundo a empresa de segurança, o ataque mais recente e mais comum usa as mídias sociais para se distribuir. Ele abusa dos perfis do YouTube e do Facebook. "Entretanto, os autores pararam de usar o Facebook quase que imediatamente e, na época dessa pesquisa, os criminosos estavam focados no YouTube. O caso é parecido com o Casbaneiro, mas um pouco mais cru. Enquanto o Casbaneiro estava escondendo os dados em descrições de vídeos e ocultando-os como parte da URL, o Guildma simplesmente coloca os dados na descrição do canal", explicou a ESET.

O início e o fim da encriptação de endereços C&C é delimitado por "|||". Os dados intermediários são codificados em base64 e criptografados usando o algoritmo Mispadu de criptografia em cadeia. Esse é o principal método de recuperação de servidores de C&C, o método mais antigo (descrito pela Avast) ainda está presente como um backup.

Tags