Investigação da Kaspersky detalha as técnicas que estão garantindo que o Guildma não tenha suas fraudes bancárias paralisadas por ações de prevenção
O Brasil já o país mais atacado no mundo por trojans bancários direcionados a desktops e ocupa o quinto lugar quando se leva em consideração esses ataques apenas no celular. No âmbito dessas ameaças, os trojans bancários brasileiros se destacam como os mais proeminentes do ranking. Entre as diferentes famílias trojans que figuram nessa lista, o Guildma se destaca pela adoção de técnicas eficazes que sustentam suas atividades fraudulentas no setor bancário.
Uma nova investigação da Kaspersky mostra, porém, que o Guildma conseguiu atingir a “imortalidade digital” e não tem sua operação paralisada por ações preventivas tanto de empresas, quanto de órgãos de controle na web.
Uma das técnicas empregadas pelo trojan brasileiro é o uso de múltiplos domínios para garantir uma infecção bem-sucedida. “Quando queremos instalar um programa, temos que baixá-lo do site da fabricante. Um malware funciona do mesmo jeito. Já em apenas uma campanha do Guildma que analisamos, encontramos 147 endereços web diferentes que direcionavam a instalação para 74 domínios diferentes. Na prática, se uma empresa tentar bloquear o acesso a esses sites usando seu firewall, o grupo criará 300 novos endereços e esse ciclo tende ao infinito”, explica Anderson Leite, analista de segurança da Kaspersky no Brasil.
Outra descoberta da investigação da Kaspersky explica como o grupo evita que a comunicação entre a “central de comando” (servidor de comando e controle) e o malware instalado no equipamento infectado seja interrompida. “Todo programa malicioso precisa receber comandos para executar uma fraude, por isso é comum que as empresas de segurança como a Kaspersky reportem onde estão hospedados os servidores C&C para remover um golpe da internet”, explica Leite.
No caso do Guildma, ele tem um processo específico para realizar a comunicação com a central de comando. Esta comunicação também trabalha com múltiplos domínios, porém o malware no aparelho infectado irá escolher um endereço da lista de maneira aleatório. Após isso, o Guildma ainda cria um sufixo que resultará em um subdomínio aleatório para evitar o bloqueio da comunicação. Essa aleatoriedade não impede a comunicação entre malware e central de controle pois o atacante usa um serviço na nuvem para garantir que todos os subdomínios sejam direcionados para o endereço correto onde o C&C está hospedado. Esse mecanismo dinâmico torna quase impossível que empresas ou órgãos da internet interrompam a comunicação sem que elas tenham os detalhes técnicos ou sem que a análise do malware seja feita pela equipe interna.
O analista da Kaspersky explica que essas preocupações exemplificam o alto grau de sofisticação que os trojans bancários conquistaram nesta década — e foi o pronto crucial que permitiu sua expansão para outros países. Para uma comparação, o Guildma atuava em nove países e estava preparado para realizar fraudes em 119 instituições financeiras em 2018 — já neste ano, ele atua em 16 países e afeta 326 aplicativos bancários e 19 plataformas de pagamento digital.
Outra característica desse trojan bancário é sua disseminação em ondas. O grupo faz alguns disparados de spam das mensagens falsas para infectar as vítimas e depois paralisa a operação por um tempo — e cada ressurgimento traz novidades para manter o golpe eficaz e lucrativo. A última detecção do Guildma no Brasil ocorreu próximo ao período de declaração de imposto de renda (efetivamente entre abril e julho de 2023).
Fonte:
https://www.cisoadvisor.com.br/trojan-bancario-brasileiro-evita-ser-excluido-da-internet/