Cuidado: trojan bancário Guildma vem por e-mail e rouba credenciais do usuário

Por Claudio Yuge | 05 de Março de 2020 às 20h40
Pixabay

A empresa de segurança ESET alerta para o aumento significativo dos ataques do Guildma, um poderoso trojan bancário que também é conhecido como Astaroth e mira especialmente os usuários da América Latina. Desenvolvida em Delphi, a ameaça chegou a ter pico de 50 mil detecções por dia em 2019, e agora no início de 2020 volta a ter quase metade dessas incidências.

Segundo a ESET, o Guildma é o mais impactante e avançado trojan bancário na região. Além de ter instituições financeiras como alvo, ele também tenta roubar credenciais por meio de e-mails, compras online e serviços de streaming, e afeta pelo menos dez vezes mais vítimas do que outras ameaças semelhantes na América Latina.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Diferentemente de outros malwares, o Guildma não armazena as janelas pop-up falsas que usa dentro do código binário. Em vez disso, o ataque é orquestrado pelos seus servidores de Comando e Controle. Isso dá ao autor uma ótima flexibilidade para reagir a medidas implementadas pelos bancos-alvos.

Imagem: Reprodução/Pixabay

Quando executado na máquina, o Guildma faz captura de tela, registra teclas pressionadas, emula teclado e mouse, bloqueia atalhos e também desabilita o Alt + F4 para dificultar sair de janelas falsas que ele mostra, além de fazer downloads, executar arquivos e reiniciar a máquina. Como dá para notar, ele pode realmente dar muita dor de cabeça para as vítimas.

Como o trojan se espalha

Aparentemente, o Guildma tem passado por muitas versões durante sua trajetória, mas geralmente há muito pouco desenvolvimento entre elas. Devido à sua arquitetura desajeitada, que utiliza valores de configuração codificados, na maioria dos casos os autores precisam recompilar todos os códigos binários para cada nova campanha. Esse trabalho não é completamente automatizado e maior evidência disso é o atraso significativo entre atualização do número da versão nos scripts e os binários.

A versão analisada pela ESET é a de número 150, mas, desde que a pesquisa começou, outras duas edições foram lançadas. Elas não contêm mudanças significativas na funcionalidade ou distribuição, apenas algumas otimizações sutis.

O Guildma normalmente chega em um anexo com extensão html, via spam, com informações bancárias. Abaixo, ele se disfarça de um comprovante de transferência.

Imagem: Reprodução/ESET

Já neste outro exemplo, ele vem na forma de uma fatura.

Imagem: Reprodução/ESET

Os golpistas costumam usar ferramentas do próprio sistema, mas sempre com alguma abordagem diferente, apostando na distração das vítimas. Para conseguir se espalhar com mais amplitude, o Guildma consegue endereços em redes sociais e no YouTube.

Como evitar o Guildma?

Assim com a maioria das ameaças desse tipo, a praga precisa que o usuário abra o arquivo malicioso do anexo. Por isso, nunca execute ou baixe arquivos que venham de uma fonte desconhecida, ou pelo menos suspeita, se você não tiver certeza do que se trata.

Manter firewall e antivírus em dia também ajuda a detectar atividades de terceiro,s e pode evitar a instalação de ameaças do tipo.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.