Cabeçalho do site

Barra de acessos extras do site

Barra de acessos extras do site

English Português Español

Área de acessos a todo o site

Página de apresentação de um artigo

Banner do artigo

Sem Comentários

Conteúdo do artigo

Cuidado: trojan bancário Guildma vem por e-mail e rouba credenciais do usuário

Informações do artigo

  • 993
  • Eset, Trojan bancário, Vírus,
  • Canaltech

Imagem: Reprodução/Pixabay

A empresa de segurança ESET alerta para o aumento significativo dos ataques do Guildma, um poderoso trojan bancário que também é conhecido como Astaroth e mira especialmente os usuários da América Latina. Desenvolvida em Delphi, a ameaça chegou a ter pico de 50 mil detecções por dia em 2019, e agora no início de 2020 volta a ter quase metade dessas incidências.

Segundo a ESET, o Guildma é o mais impactante e avançado trojan bancário na região. Além de ter instituições financeiras como alvo, ele também tenta roubar credenciais por meio de e-mails, compras online e serviços de streaming, e afeta pelo menos dez vezes mais vítimas do que outras ameaças semelhantes na América Latina.

Diferentemente de outros malwares, o Guildma não armazena as janelas pop-up falsas que usa dentro do código binário. Em vez disso, o ataque é orquestrado pelos seus servidores de Comando e Controle. Isso dá ao autor uma ótima flexibilidade para reagir a medidas implementadas pelos bancos-alvos.

Quando executado na máquina, o Guildma faz captura de tela, registra teclas pressionadas, emula teclado e mouse, bloqueia atalhos e também desabilita o Alt + F4 para dificultar sair de janelas falsas que ele mostra, além de fazer downloads, executar arquivos e reiniciar a máquina. Como dá para notar, ele pode realmente dar muita dor de cabeça para as vítimas.

Como o trojan se espalha

Aparentemente, o Guildma tem passado por muitas versões durante sua trajetória, mas geralmente há muito pouco desenvolvimento entre elas. Devido à sua arquitetura desajeitada, que utiliza valores de configuração codificados, na maioria dos casos os autores precisam recompilar todos os códigos binários para cada nova campanha. Esse trabalho não é completamente automatizado e maior evidência disso é o atraso significativo entre atualização do número da versão nos scripts e os binários.

A versão analisada pela ESET é a de número 150, mas, desde que a pesquisa começou, outras duas edições foram lançadas. Elas não contêm mudanças significativas na funcionalidade ou distribuição, apenas algumas otimizações sutis.

O Guildma normalmente chega em um anexo com extensão html, via spam, com informações bancárias. Abaixo, ele se disfarça de um comprovante de transferência.


Imagem: Reprodução/ESET

Já neste outro exemplo, ele vem na forma de uma fatura.


Imagem: Reprodução/ESET

Os golpistas costumam usar ferramentas do próprio sistema, mas sempre com alguma abordagem diferente, apostando na distração das vítimas. Para conseguir se espalhar com mais amplitude, o Guildma consegue endereços em redes sociais e no YouTube.

Como evitar o Guildma?

Assim com a maioria das ameaças desse tipo, a praga precisa que o usuário abra o arquivo malicioso do anexo. Por isso, nunca execute ou baixe arquivos que venham de uma fonte desconhecida, ou pelo menos suspeita, se você não tiver certeza do que se trata.

0 Comentários

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *




Menu voltado para os artigos

Vamos conversar pelo whatsapp?