Últimas notícias

Fique informado

Imortalidade Digital: como o trojan bancário brasileiro evita ser excluído da internet

7 de novembro de 2023

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

CLM alerta: anúncios no Google podem esconder ciberataques dinâmicos

Com mudança dinâmica dos links e o uso de anúncios pagos. CLM alerta: phishing no Google ficam cada vez mais perigosos

8 de fevereiro de 2023

Medida cibernética: ciberataques de Estado-nação se tornam mais ousados à medida que líderes autoritários escalam a agressão

Boas práticas de higiene cibernética continuam sendo a melhor defesa, enquanto a nuvem fornece a melhor segurança física e lógica contra os ciberataques.

4 de novembro de 2022

Check Point Software analisa os ciberataques de grupo russo à Eslováquia e aos Estados Unidos

A Check Point Research (CPR)descobriu que cibercriminosos pertencentes ao grupo russo Anonymous, que na semana passada se tornou parte do Killnet, estão atacando (aparentemente em formato DDoS) os sites dos principais bancos, aeroportos, serviços de táxi e provedores de hospedagem na Eslováquia.

11 de outubro de 2022

Investigação da Kaspersky detalha técnicas que estão garantindo que o Guildma não tenha fraudes bancárias paralisadas por ações de prevenção

O Guildma foi um dos primeiros trojans bancários nacionais que expandiram seus ataques para fora do Brasil em 2020, é também o grupo mais ativo internacionalmente.

Porém uma nova investigação da Kaspersky mostra que eles conseguiram atingir a imortalidade digital e não tem sua operação paralisada por ações preventivas tanto de empresas, quanto de órgãos de controle web. Especialistas comentam medidas para evitar cair no golpe e o que pode ser feito para equilibrar o combate.

O Brasil já é o país mais atacado por trojan bancário (desktop) no mundo e o quinto quando leva-se em consideração apenas esses golpes no celular.

E, dentro desse domínio, os trojans bancários brasileiros são os mais presentes na lista. Porém, entre as famílias presentes, o Guildma se destaca pela adoção de técnicas eficazes para manter sua atividade (fraudes bancárias).

A primeira delas é o uso de múltiplos domínios para garantir uma infecção bem-sucedida. “Quando queremos instalar um programa, temos que baixá-lo do site da fabricante. Um malware funciona do mesmo jeito. Já em apenas uma campanha do Guildma que analisamos, encontramos 147 endereços web diferentes que direcionavam a instalação para 74 domínios diferentes. Na prática, se uma empresa tentar bloquear o acesso a esses sites usando seu firewall, o grupo criará 300 novos endereços e esse ciclo tende ao infinito”, explica Anderson Leite, analista de segurança da Kaspersky no Brasil.

Outra descoberta da investigação da Kaspersky explica como o grupo evita que a comunicação entre a “central de comando” (Servidor C2) e o malware instalado no equipamento infectado seja interrompida.

“Todo programa malicioso precisa receber comandos para executar uma fraude, por isso é comum que as empresas de segurança como a Kaspersky reportem onde estão hospedados os servidores C2 para remover um golpe da internet”, explica Leite.

No caso do Guildma, ele tem um processo específico para realizar a comunicação com a central de comando. Esta comunicação também trabalha com múltiplos domínios, porém o malware no aparelho infectado irá escolher um endereço da lista de maneira aleatório.

Após isso, o Guildma ainda cria um sufixo que resultará em um subdomínio aleatório para evitar o bloqueio da comunicação. Essa aleatoriedade não impede a comunicação entre malware e central de controle pois o atacante usa um serviço na nuvem para garantir que todos os subdomínios sejam direcionados para o endereço correto onde o C2 está hospedado.

Esse mecanismo dinâmico torna quase impossível que empresas ou órgãos da internet interrompam a comunicação sem que elas tenham os detalhes técnicos ou sem que a análise do malware seja feita pela equipe interna.

O analista da Kaspersky explica que essas preocupações exemplificam o alto grau de sofisticação que os trojans bancários conquistaram nesta década – e foi o pronto crucial que permitiu sua expansão para outros países.

Para uma comparação, o Guildma atuava em 9 países e estava preparado para realizar fraudes em 119 instituições financeiras em 2018 – já neste ano, ele atua em 16 países e afeta 326 aplicativos bancários e 19 plataformas de pagamento digital.

Outra característica desse trojan bancário é sua disseminação em ondas. O grupo faz alguns disparados de spam das mensagens falsas para infectar as vítimas e depois paralisa a operação por um tempo – e cada ressurgimento traz novidades para manter o golpe eficaz e lucrativo.

A última detecção do Guildma no Brasil ocorreu próximo ao período de declaração de imposto de renda (efetivamente entre abril e julho de 2023).

Para evitar ser vítima desse golpe, os especialistas da Kaspersky recomendam:

Cuidado com links por e-mail: o Guildma é disseminado por mensagens falsas por e-mail que podem ser uma nota fiscal eletrônica falso ou um alerta do Imposto de Renda com uma suposta irregularidade. Caso tenha dúvidas se a mensagem é verdadeira, entre em contato com a instituição pelos canais oficiais – jamais pelo link oferecido na mensagem.

Conte com um bom antivírus instalado no computador e celular: o Guildma conta ainda com técnicas para evitar sua detecção na hora da instalação. Esse processo é feito em cinco etapa: arquivo LNK, JS, AutolT, DLL e finalmente o executável (.exe). Todos os produtos da Kaspersky bloqueiam essa ameaça.

Para as empresas:

Campanhas de conscientização: além de ações educativas, ofereça treinamento básico de cibersegurança para todos os funcionários, assim eles serão capazes de reconhecer um ataque e evita-lo antes que ele gere problemas.

Ofereça acesso a informações privilegiadas ao time de segurança: como explicado pela investigação, as técnicas avançadas do Guildma neutralizam as ações de bloqueio padrões dos times de segurança. Para uma ação eficaz, os profissionais precisam de dados técnicos de investigação presentes em relatórios de Threat Intelligence (inteligência de ameaças).

Sobre a Kaspersky

A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. O seu profundo conhecimento do panorama de inteligência de ameaças e a sua experiência leva à criação contínua de soluções de segurança e serviços para proteger as empresas, infraestrutura críticas, Governos e consumidores por todo o mundo.

O portfólio de segurança da empresa inclui a solução líder de proteção para endpoint e um vasto número de programas e serviços de segurança especializados – que incluem soluções de Ciberimunidade – que visam combater ameaças digitais mais sofisticadas e em permanente evolução.

Atualmente, mais de 400 milhões de utilizadores estão protegidos pelas tecnologias da Kaspersky e a empresa ajuda cerca de 220.000 clientes corporativos a proteger o que lhes é mais importante.

ESET detecta novo trojan bancário direcionado a usuários no Brasil

Guildma: Trojan bancário que ataca o Brasil

Cibercriminosos brasilieros dão primeiro passo para trojan bancário multiplataforma

Acompanhe o Crypto ID nas redes sociais!