Imagem: Reprodução/Pixabay
A empresa de segurança ESET alerta para o aumento significativo dos ataques do Guildma, um poderoso trojan bancário que também é conhecido como Astaroth e mira especialmente os usuários da América Latina. Desenvolvida em Delphi, a ameaça chegou a ter pico de 50 mil detecções por dia em 2019, e agora no início de 2020 volta a ter quase metade dessas incidências.
Segundo a ESET, o Guildma é o mais impactante e avançado trojan bancário na região. Além de ter instituições financeiras como alvo, ele também tenta roubar credenciais por meio de e-mails, compras online e serviços de streaming, e afeta pelo menos dez vezes mais vítimas do que outras ameaças semelhantes na América Latina.
Diferentemente de outros malwares, o Guildma não armazena as janelas pop-up falsas que usa dentro do código binário. Em vez disso, o ataque é orquestrado pelos seus servidores de Comando e Controle. Isso dá ao autor uma ótima flexibilidade para reagir a medidas implementadas pelos bancos-alvos.
Quando executado na máquina, o Guildma faz captura de tela, registra teclas pressionadas, emula teclado e mouse, bloqueia atalhos e também desabilita o Alt + F4 para dificultar sair de janelas falsas que ele mostra, além de fazer downloads, executar arquivos e reiniciar a máquina. Como dá para notar, ele pode realmente dar muita dor de cabeça para as vítimas.
Como o trojan se espalha
Aparentemente, o Guildma tem passado por muitas versões durante sua trajetória, mas geralmente há muito pouco desenvolvimento entre elas. Devido à sua arquitetura desajeitada, que utiliza valores de configuração codificados, na maioria dos casos os autores precisam recompilar todos os códigos binários para cada nova campanha. Esse trabalho não é completamente automatizado e maior evidência disso é o atraso significativo entre atualização do número da versão nos scripts e os binários.
A versão analisada pela ESET é a de número 150, mas, desde que a pesquisa começou, outras duas edições foram lançadas. Elas não contêm mudanças significativas na funcionalidade ou distribuição, apenas algumas otimizações sutis.
O Guildma normalmente chega em um anexo com extensão html, via spam, com informações bancárias. Abaixo, ele se disfarça de um comprovante de transferência.
Imagem: Reprodução/ESET
Já neste outro exemplo, ele vem na forma de uma fatura.
Imagem: Reprodução/ESET
Os golpistas costumam usar ferramentas do próprio sistema, mas sempre com alguma abordagem diferente, apostando na distração das vítimas. Para conseguir se espalhar com mais amplitude, o Guildma consegue endereços em redes sociais e no YouTube.
Como evitar o Guildma?
Assim com a maioria das ameaças desse tipo, a praga precisa que o usuário abra o arquivo malicioso do anexo. Por isso, nunca execute ou baixe arquivos que venham de uma fonte desconhecida, ou pelo menos suspeita, se você não tiver certeza do que se trata.
Investigadores de segurança da ESET, com ajuda da Microsoft e agências de segurança, como FBI, Interpol e Europol, desmantelaram uma operação de botnet conhecida como Gamarue, que já infectou milhões de vítimas desde 2011.
O trabalho, que começou no dia 29 de novembro, possibilitou que agências policiais de todo o mundo pudessem deter e interromper a atividade maliciosa que infecta mais de 1,1 milhões de sistemas por mês. Na América Latina, Peru e México estão entre os cinco países com maior quantidade de detecções.
O Gamarue foi criado por criminosos cibernéticos em setembro de 2011 e vendido em fóruns clandestinos da Deep Web como um kit de cibercrime. Esse tipo de malware permite que o atacante crie e utilize complementos personalizados nos equipamentos eletrônicos das vítimas com objetivo de roubar credenciais, e ainda, baixar e instalar um malware adicional no sistema dos usuários.
A ESET desenvolveu um programa que se comporta como um bot e, com isso, pode comunicar-se com o servidor de C&C (Comando & Controle) da ameaça, e, a partir destas conexões, acompanhar de perto o comportamento dos botnets do Gamarue do último um ano e meio. A partir das informações coletadas neste tempo, foi possível identificar os servidores de C&C para logo desmontá-los, além de monitorar a forma como operava e de que maneira localizar outros domínios utilizados por cibercriminosos.
A educação e a prevenção são dois pontos essenciais para combater a ação dos códigos maliciosos. Na ESETtrabalhamos em prol da conscientização de todos porque sabemos que contar com nossas soluções é indispensável para obter uma proteção superior, porém se não se realizam práticas corretas ao navegar na Internet, trocar arquivos ou efetuar a manutenção dos programas instalados pode-se estar exposto a riscos importantes.
Os produtos ESET detectam a grande maioria das variantes de toda a classe de ameaças. No entanto, devido ao fato de que constantemente se criam novas variantes e que a ação de muitos códigos maliciosos depende diretamente do que se faz com seu equipamento, existem certas práticas de segurança e configurações que contribuem para evitar infecções de toda classe e que do mesmo modo são recomendáveis tanto antes, como durante o processo e logo é capaz de acabar com uma possível infecção.
- Mantenha atualizada a base de dados de assinaturas de vírus de todos seus produtos ESET.
- Integre ao sistema o Controle do dispositivo e configure a exploração automática desses meios.
- Ative a opção de exploração – através do menu contextual – para explorar facilmente qualquer unidade ou arquivo suspeito quando desejar.
- Habilite o ESET Live Grid: abra seu produto ESET e acione a configuração avançada pressionando a tecla F5 do teclado. Após isso habilite a opção “ESET Live Grid”.
- Habilite a detecção de aplicações potencialmente perigosas, não desejadas e suspeitas.
- Proteja as configurações do produto.
- Desabilite a funções de Reprodução automática no Windows: acione a Início/Painel de Controle, selecione Reprodução automática e desmarque a opção correspondente a Usar a reprodução automática para todos os meios e dispositivos. Salve as mudanças.
Também é importante:
- Não desabilitar o Controle de contas de usuário (UAC) no Windows.
- Não abrir arquivos anexados suspeitos que simulam ser comprovantes ou recibos que contam com nomes suspeitos ou que se não espera receber nem se conhece o remetente.
Por último, recomendamos as seguintes leituras que introduzem algumas práticas simples que contribuem para otimizar o funcionamento de seu produto ESET e proporcionar o máximo de segurança possível:
Te esperamos nos próximos posts para que você obtenha mais informações práticas que te ajudem a aproveitar ainda mais de uma navegação segura com a tranquilidade que nossas soluções de segurança oferecem.
Na última semana, um gigantesco ciberataque afetou sistemas de diversas empresas importantes de 74 países do mundo, inclusive do Brasil. O WanaCrypt0r é um tipo de ransomware que limita ou impede aos usuários o acesso ao computador e seus arquivos e solicita um resgate para eles possam ser acessados de novo. Para não ser vítima deste ou de outros ciberataques, confira as informações úteis compartilhadas pela ESET sobre os produtos que podem ajudar na detecção das ameaças.
Os produtos ESET detectaram a ameaça como uma variável do Win32/Filecoder.WanaCryptor e também detectou o que seria o vetor de propagação: o exploit EternalBlue, que aproveita as vulnerabilidades CVE-2017-0143, CVE-2017-0144 e CVE-2017-0145 corrigidas pela Microsoft na atualização MS-17-010 publicado dia 14 de março deste ano. No caso do exploit, os produtos detectam a versão filtrada do mesmo com o módulo Network Attack Protection, integrado na versão ESET Enpoint Security 6.x desde o dia 25 de abril deste ano. Portanto, os clientes que possuem as últimas soluções ESET, corretamente configuradas e em funcionamento, não devem ser afetados.
A ESET lembra ainda do papel fundamental do ESET LiveGrid durante ataques deste tipo, já que ele permite uma detecção antecipada destas novas variáveis, reduzindo de maneira considerável a brecha de tempo em que uma empresa pode ficar vulnerável.
É importante que, como parte da proteção, os usuários estejam alertas quanto ao recebimento de e-mails com arquivos anexos suspeitos e ainda com a navegação na internet.