Trojan bancário brasileiro evita ser excluído da internet

Trojan bancário brasileiro evita ser excluído da internet. Investigação da Kaspersky detalha as técnicas que estão garantindo que o Guildma não tenha suas fraudes bancárias paralisadas por ações de prevenção

O Guildma foi um dos primeiros trojans bancários nacionais que expandiram seus ataques para fora do Brasil em 2020, é também o grupo mais ativo internacionalmente. Porém uma nova investigação da Kaspersky mostra que eles conseguiram atingir a imortalidade digital e não tem sua operação paralisada por ações preventivas tanto de empresas, quanto de órgãos de controle web. Especialistas comentam medidas para evitar cair no golpe e o que pode ser feito para equilibrar o combate.

O Brasil já é o país mais atacado por trojan bancário (desktop) no mundo e o quinto quando leva-se em consideração apenas esses golpes no celular. E, dentro desse domínio, os trojans bancários brasileiros são os mais presentes na lista. Porém, entre as famílias presentes, o Guildma se destaca pela adoção de técnicas eficazes para manter sua atividade (fraudes bancárias).

A primeira delas é o uso de múltiplos domínios para garantir uma infecção bem-sucedida. “Quando queremos instalar um programa, temos que baixá-lo do site da fabricante. Um malware funciona do mesmo jeito. Já em apenas uma campanha do Guildma que analisamos, encontramos 147 endereços web diferentes que direcionavam a instalação para 74 domínios diferentes. Na prática, se uma empresa tentar bloquear o acesso a esses sites usando seu firewall, o grupo criará 300 novos endereços e esse ciclo tende ao infinito”, explica Anderson Leite, analista de segurança da Kaspersky no Brasil.

Outra descoberta da investigação da Kaspersky explica como o grupo evita que a comunicação entre a “central de comando” (Servidor C2) e o malware instalado no equipamento infectado seja interrompida. “Todo programa malicioso precisa receber comandos para executar uma fraude, por isso é comum que as empresas de segurança como a Kaspersky reportem onde estão hospedados os servidores C2 para remover um golpe da internet”, explica Leite.

No caso do Guildma, ele tem um processo específico para realizar a comunicação com a central de comando. Esta comunicação também trabalha com múltiplos domínios, porém o malware no aparelho infectado irá escolher um endereço da lista de maneira aleatório. Após isso, o Guildma ainda cria um sufixo que resultará em um subdomínio aleatório para evitar o bloqueio da comunicação. Essa aleatoriedade não impede a comunicação entre malware e central de controle pois o atacante usa um serviço na nuvem para garantir que todos os subdomínios sejam direcionados para o endereço correto onde o C2 está hospedado. Esse mecanismo dinâmico torna quase impossível que empresas ou órgãos da internet interrompam a comunicação sem que elas tenham os detalhes técnicos ou sem que a análise do malware seja feita pela equipe interna.

O analista da Kaspersky explica que essas preocupações exemplificam o alto grau de sofisticação que os trojans bancários conquistaram nesta década – e foi o pronto crucial que permitiu sua expansão para outros países. Para uma comparação, o Guildma atuava em 9 países e estava preparado para realizar fraudes em 119 instituições financeiras em 2018 – já neste ano, ele atua em 16 países e afeta 326 aplicativos bancários e 19 plataformas de pagamento digital.

Outra característica desse trojan bancário é sua disseminação em ondas. O grupo faz alguns disparados de spam das mensagens falsas para infectar as vítimas e depois paralisa a operação por um tempo – e cada ressurgimento traz novidades para manter o golpe eficaz e lucrativo. A última detecção do Guildma no Brasil ocorreu próximo ao período de declaração de imposto de renda (efetivamente entre abril e julho de 2023).

Para evitar ser vítima desse golpe, os especialistas da Kaspersky recomendam:

Cuidado com links por e-mail: o Guildma é disseminado por mensagens falsas por e-mail que podem ser uma nota fiscal eletrônica falso ou um alerta do Imposto de Renda com uma suposta irregularidade. Caso tenha dúvidas se a mensagem é verdadeira, entre em contato com a instituição pelos canais oficiais – jamais pelo link oferecido na mensagem.
Conte com um bom antivírus instalado no computador e celular: o Guildma conta ainda com técnicas para evitar sua detecção na hora da instalação. Esse processo é feito em cinco etapa: arquivo LNK, JS, AutolT, DLL e finalmente o executável (.exe). Todos os produtos da Kaspersky bloqueiam essa ameaça.

Para as empresas:

Campanhas de conscientização: além de ações educativas, ofereça treinamento básico de cibersegurança para todos os funcionários, assim eles serão capazes de reconhecer um ataque e evita-lo antes que ele gere problemas.
Ofereça acesso a informações privilegiadas ao time de segurança: como explicado pela investigação, as técnicas avançadas do Guildma neutralizam as ações de bloqueio padrões dos times de segurança. Para uma ação eficaz, os profissionais precisam de dados técnicos de investigação presentes em relatórios de Threat Intelligence (inteligência de ameaças).