Conecte-se conosco

Noticias

Vírus que rouba dados bancários ataca o Brasil

Publicado

on

A Eset, empresa de detecção proativa de ameaças, identificou o Guildma, um poderoso trojan bancário também conhecido como Astaroth, bastante prevalente na América Latina. Esse trojan voltado para o Brasil, desenvolvido em Delphi, possui algumas técnicas inovadoras de execução e ataque. Essa é sua maior campanha até o momento.

O Guildma é um trojan bancário da América Latina que tem como alvo o Brasil. A Eset acredita que esse é o mais impactante e avançado trojan bancário na região. Além de ter instituições financeiras como alvo, o Guildma também tenta roubar credenciais por meio de e-mails, compras online e serviços de streaming, e afeta pelo menos 10 vezes mais vítimas do que outros trojans bancários existentes na América Latina. Ele usa métodos inovadores de execução e técnicas sofisticadas de ataque.

Diferentemente de outros trojans bancários que surgiram na América Latina, o Guildma não armazena as janelas pop-up falsas que usa dentro do código binário. Em vez disso, o ataque é orquestrado pelos seus servidores de C&C (Comando e Controle). Isso dá ao autor uma ótima flexibilidade para reagir a medidas implementadas pelos bancos-alvos.

O Guildma implementa as seguintes funcionalidades de backdoor:

• Faz captura de tela

• Captura as teclas pressionadas

• Emula teclado e mouse

• Bloqueia atalhos e também desabilita o Alt + F4 para dificultar sair de janelas falsas que ele mostra

• Faz download e executa arquivos

• Reinicia a máquina

Como ele se espalha

A Eset descobriu que o Guildma se espalha exclusivamente por spam com anexos maliciosos. Abaixo, dois exemplos de uma campanha de meados de novembro de 2019.

Uma das características que definem o Guildma é a disseminação de correntes usando ferramentas já presentes no sistema, frequentemente de maneiras novas e incomuns. Outra característica é a reutilização de técnicas usadas em versões anteriores.

Detecções

As campanhas aumentaram vagarosamente até o surgimento de um ataque massivo, em agosto de 2019, quando a Eset identificou mais de 50 mil amostras por dia. Essa campanha ficou ativa por quase dois meses e contabilizou mais que o dobro de detecções que tínhamos visto nos 10 meses anteriores.

Histórico da versão

Aparentemente, o Guildma tem passado por muitas versões durante sua trajetória, mas geralmente ha muito pouco desenvolvimento entre elas – devido à sua arquitetura desajeitada, que utiliza valores de configuração codificados, na maioria dos casos os autores precisam recompilar todos os códigos binários para cada nova campanha. Um trabalho que claramente não é completamente automatizado, já que muitas vezes houve um atraso significativo entre atualização do número da versão nos scripts e os binários.

A versão analisada pela Eset é a de número 150, mas desde que a pesquisa começou, outras duas versões foram lançadas. Elas não contêm mudanças significativas na funcionalidade ou distribuição, apoiando nossas reivindicações sobre o ciclo de desenvolvimento do Guildma.

Similaridades com outros ataques

Esse ataque usa as mídias sociais para se distribuir. Ele abusa dos perfis do YouTube e do Facebook. Entretanto, os autores pararam de usar o Facebook quase que imediatamente e, na época dessa pesquisa, os criminosos estavam focados no YouTube. O caso é parecido com o Casbaneiro, mas um pouco mais cru. Enquanto o Casbaneiro estava escondendo os dados em descrições de vídeos e ocultando-os como parte da URL, o Guildma simplesmente coloca os dados na descrição do canal. O início e o fim da encriptação de endereços C&C é delimitado por “|||”. Os dados intermediários são codificados em base64 e criptografados usando o algoritmo Mispadu de criptografia em cadeia. Esse é o principal método de recuperação de servidores de C&C, o método mais antigo (descrito pela Avast) ainda está presente como um backup.

Conclusão

O Guildma mais uma vez compartilha das características predominantes dos trojans bancários da América Latina. Ele é escrito em Delphi, tem a região como alvo, implementa funcionalidades backdoor, divide suas funcionalidades em diferentes módulos e abusa de ferramentas legítimas.

O Guildma também compartilha interessantes características comuns às famílias descritas anteriormente. Ou seja, seu atual algoritmo de criptografia combina os usados por Casbaneiro e Mispadu.

Fonte: Diário do Nordeste

Radio Ao vivo

00:00

SAIU NA MAIS

anúncio
CeLelebridades10 horas atrás

COLUNA: CeLELEbridades

Videos10 horas atrás

Balaio de Gatos – edição 20/01/25

Iguatu11 horas atrás

CCI oferta vagas nos cursos de Inglês e Espanhol para novo público de Iguatu e região – parte 2

Iguatu14 horas atrás

Deputado denuncia atrasos salariais, supostos desvios de recursos e enriquecimento ilegal na gestão municipal

Iguatu18 horas atrás

Iguatu – Confira as principais notícias da área policial no programa Mais Notícias de hoje, 20 Janeiro 2025

Iguatu18 horas atrás

AO VIVO – MAIS NOTÍCIAS – 20/01/2025

Ceará22 horas atrás

SISU atualiza notas de corte: confira a lista das principais universidades do CE

Ceará22 horas atrás

Uma barragem rompeu, em Independência-CE, e moradores foram resgatados de helicóptero

Esportes23 horas atrás

O adeus a Léo Batista, jornalista e locutor esportivo

Iguatu1 dia atrás

AO VIVO – MANHÃ DE NOTÍCIAS – 20/01/2025

Esportes3 dias atrás

As informações do esporte profissional e amador no Momento Esportivo

Iguatu3 dias atrás

Servidores de Iguatu decidem continuar em greve

Americando3 dias atrás

AMERICANDO: A itinerante fábrica de ódio

Videos4 dias atrás

Balaio de Gatos – edição 17/01/25

Iguatu4 dias atrás

CCI oferta vagas nos cursos de Inglês e Espanhol para novo público de Iguatu e região

Iguatu4 dias atrás

AO VIVO – MAIS NOTÍCIAS – 17/01/2025

Iguatu4 dias atrás

Previsão de chuva para Iguatu e região

Iguatu4 dias atrás

Iguatu – Confira as principais notícias da área policial no programa Mais Notícias de hoje, 16 Janeiro 2025

Videos4 dias atrás

Balaio de Gatos – edição 16/01/25

Noticias5 dias atrás

Ceará registra aumento de 162% no cadastro na plataforma “Não Me Perturbe”

Noticias5 dias atrás

SALÁRIOS ATRASADOS – Justiça exige providências imediatas do município de Baixio sobre atraso salarial dos servidores públicos

Iguatu5 dias atrás

AO VIVO – MAIS NOTÍCIAS – 16/01/2025

Empregos5 dias atrás

Confira as vagas de emprego disponibilizadas pelo SINE/IDT Iguatu nessa quinta-feira, 16

Economia5 dias atrás

Governo decidiu revogar norma da Receita Federal que autorizava o monitoramento do Pix, após disseminação de Fake News

Iguatu5 dias atrás

AO VIVO – MANHÃ DE NOTÍCIAS – 16/01/2025

Ceará5 dias atrás

Ceará tem dia de janeiro mais chuvoso no Estado desde 1994

Esportes5 dias atrás

Ceará foi eliminado da Copa São Paulo de Futebol Júnior 2025

Videos5 dias atrás

Balaio de Gatos – edição 15/01/25

Iguatu6 dias atrás

SPUMI repudia atraso de salários e acusa gestão municipal de descaso com servidores em Iguatu

Iguatu6 dias atrás

EXCLUSIVO – Família de Cláudio Lima Verde esclarece situação sobre precatório municipal

EM ALTA

Conteúdo acessível em Libras usando o VLibras Widget com opções dos Avatares Ícaro, Hosana ou Guga. Conteúdo acessível em Libras usando o VLibras Widget com opções dos Avatares Ícaro, Hosana ou Guga.