O Guildma foi um dos primeiros trojans bancários nacionais que expandiram seus ataques para fora do Brasil em 2020, é também o grupo mais ativo internacionalmente. Porém uma nova investigação da Kaspersky mostra que eles conseguiram atingir a imortalidade digital e não tem sua operação paralisada por ações preventivas tanto de empresas, quanto de órgãos de controle web. Especialistas comentam medidas para evitar cair no golpe e o que pode ser feito para equilibrar o combate.
O Brasil já é o país mais atacado por trojan bancário no mundo e o quinto quando leva-se em consideração apenas esses golpes no celular. E, dentro desse domínio, os trojans bancários brasileiros são os mais presentes na lista. Porém, entre as famílias presentes, o Guildma se destaca pela adoção de técnicas eficazes para manter sua atividade.
A primeira delas é o uso de múltiplos domínios para garantir uma infecção bem-sucedida. “Quando queremos instalar um programa, temos que baixá-lo do site da fabricante. Um malware funciona do mesmo jeito. Já em apenas uma campanha do Guildma que analisamos, encontramos 147 endereços web diferentes que direcionavam a instalação para 74 domínios diferentes. Na prática, se uma empresa tentar bloquear o acesso a esses sites usando seu firewall, o grupo criará 300 novos endereços e esse ciclo tende ao infinito”, explica Anderson Leite, analista de segurança da Kaspersky no Brasil.
Outra descoberta da investigação da Kaspersky explica como o grupo evita que a comunicação entre a “central de comando” (Servidor C2) e o malware instalado no equipamento infectado seja interrompida. “Todo programa malicioso precisa receber comandos para executar uma fraude, por isso é comum que as empresas de segurança como a Kaspersky reportem onde estão hospedados os servidores C2 para remover um golpe da internet”, explica Leite.
No caso do Guildma, ele tem um processo específico para realizar a comunicação com a central de comando. Esta comunicação também trabalha com múltiplos domínios, porém o malware no aparelho infectado irá escolher um endereço da lista de maneira aleatória. Após isso, o Guildma ainda cria um sufixo que resultará em um subdomínio aleatório para evitar o bloqueio da comunicação.
Essa aleatoriedade não impede a comunicação entre malware e central de controle pois o atacante usa um serviço na nuvem para garantir que todos os subdomínios sejam direcionados para o endereço correto onde o C2 está hospedado. Esse mecanismo dinâmico torna quase impossível que empresas ou órgãos da internet interrompam a comunicação sem que elas tenham os detalhes técnicos ou sem que a análise do malware seja feita pela equipe interna.
O analista da Kaspersky explica que essas preocupações exemplificam o alto grau de sofisticação que os trojans bancários conquistaram nesta década – e foi o pronto crucial que permitiu sua expansão para outros países. Para uma comparação, o Guildma atuava em 9 países e estava preparado para realizar fraudes em 119 instituições financeiras em 2018 – já neste ano, ele atua em 16 países e afeta 326 aplicativos bancários e 19 plataformas de pagamento digital.
Outra característica desse trojan bancário é sua disseminação em ondas. O grupo faz alguns disparados de spam das mensagens falsas para infectar as vítimas e depois paralisa a operação por um tempo – e cada ressurgimento traz novidades para manter o golpe eficaz e lucrativo. A última detecção do Guildma no Brasil ocorreu próximo ao período de declaração de imposto de renda (efetivamente entre abril e julho de 2023).
Para evitar ser vítima desse golpe, os especialistas da Kaspersky recomendam Cuidado com links por e-mail; bom antivírus instalado no computador e celular; Campanhas de conscientização; e acesso a informações privilegiadas ao time de segurança.
o Guildma é disseminado por mensagens falsas por e-mail que podem ser uma nota fiscal eletrônica falsa ou um alerta do Imposto de Renda com uma suposta irregularidade. Caso haja dúvidas se a mensagem é verdadeira, o usuário deve entrar em contato com a instituição pelos canais oficiais – jamais pelo link oferecido na mensagem.
Além de ações educativas, as empresas devem oferecer treinamento básico de cibersegurança para todos os funcionários, assim eles serão capazes de reconhecer um ataque e evitá-lo antes que gere problemas.
Como explicado pela investigação, as técnicas avançadas do Guildma neutralizam as ações de bloqueio padrões dos times de segurança. Para uma ação eficaz, os profissionais precisam de dados técnicos de investigação presentes em relatórios de Threat Intelligence.
