Guildma es un troyano bancario altamente sofisticado diseñado específicamente para afectar a usuarios en Brasil. Aunque algunas variantes de este malware han intentado expandir su alcance a otras regiones, hasta ahora se ha observado que sus ataques están centrados en instituciones financieras brasileñas. Guildma es conocido por utilizar técnicas avanzadas de ejecución e infección, lo que lo convierte en uno de los troyanos bancarios más avanzados de la región. Además de apuntar a datos bancarios, el malware también intenta exfiltrar información relacionada con correos electrónicos, comercio electrónico y cuentas de servicios de streaming.

Funcionamiento

Guildma es un troyano bancario diseñado para llevar a cabo operaciones maliciosas dirigidas principalmente a usuarios en Brasil. Su funcionamiento técnico implica varias etapas y características avanzadas:

  1. Distribución y Infección:
    • Guildma se propaga a través de campañas de spam, utilizando correos electrónicos engañosos con archivos adjuntos maliciosos o enlaces.
    • Los archivos maliciosos pueden estar en diversos formatos, como ejecutables, documentos PDF, archivos de oficina y JavaScript.
  2. Verificación del Entorno:
    • Tras la infección, Guildma verifica si está ejecutándose en una máquina virtual o en un entorno "aislado".
    • Inspecciona la geolocalización del sistema y otros detalles para determinar su interés.
  3. Comunicación con el Servidor C&C:
    • Guildma tiene la capacidad de comunicarse de manera avanzada con su servidor de Comando y Control (C&C).
    • Esta comunicación le proporciona versatilidad en la ejecución de sus operaciones maliciosas.
  4. Recopilación de Información del Sistema:
    • Después de verificar el entorno, Guildma recopila información del sistema, como el nombre del dispositivo y el software instalado.
    • Se conecta al servidor C&C para enviar la información recopilada.
  5. Monitoreo y Captura de Datos:
    • Guildma monitorea la actividad del usuario, especialmente cuando se abre un sitio web bancario relevante.
    • Puede tomar capturas de pantalla y registrar pulsaciones de teclas, lo que facilita el robo de credenciales de inicio de sesión y contraseñas.
  6. Filtrado de Datos:
    • El troyano también se centra en la exfiltración de datos relacionados con correos electrónicos, comercio electrónico y cuentas de servicios de streaming.
    • Puede recopilar direcciones de correo electrónico, formularios de sitios web y listas de contactos de clientes de correo electrónico.
  7. Acciones Maliciosas Adicionales:
    • Guildma tiene capacidades para emular entradas de teclado y mouse, bloquear teclas de método abreviado y ejecutar y filtrar archivos.
    • Puede reiniciar el sistema y realizar otras acciones para eludir la detección y persistir en el sistema.
  8. Infiltración a través de Campañas Específicas:
    • Se ha observado que Guildma utiliza campañas de spam específicas con mensajes engañosos para persuadir a los usuarios a abrir archivos maliciosos.

Impacto y Consecuencias

El impacto y las consecuencias de Guildma, un troyano bancario altamente sofisticado, se manifiestan a través de diversas acciones técnicas dirigidas hacia la exfiltración de información sensible y la interrupción de la actividad normal del sistema. Aquí se detallan los aspectos técnicos relacionados con su impacto:

  1. Riesgo de Pérdidas Financieras:
    • Guildma tiene como objetivo principal las instituciones financieras en Brasil, buscando robar credenciales bancarias y datos relacionados con transacciones financieras.
    • El troyano puede realizar transacciones no autorizadas en nombre del usuario, lo que resulta en pérdidas financieras significativas.
  2. Exfiltración de Datos Sensibles:
    • Guildma está diseñado para exfiltrar una amplia gama de datos, incluyendo información relacionada con correos electrónicos, comercio electrónico y cuentas de servicios de streaming.
    • La exfiltración de datos puede conducir a la pérdida de información confidencial y a la violación de la privacidad del usuario.
  3. Robo de Identidad:
    • Al capturar pulsaciones de teclas y recopilar información personal, Guildma puede facilitar el robo de identidad.
    • La información sustraída puede ser utilizada para realizar actividades fraudulentas en nombre del usuario afectado.
  4. Monitoreo y Registro de Actividad:
    • Guildma monitorea la actividad del usuario, especialmente en sitios web bancarios, mediante la toma de capturas de pantalla y el registro de pulsaciones de teclas.
    • Esto no solo compromete la privacidad, sino que también permite a los atacantes obtener acceso a información confidencial.
  5. Infección Silenciosa y Persistencia:
    • Guildma opera de manera sigilosa, infiltrándose en sistemas sin mostrar síntomas evidentes.
    • Su capacidad para persistir en el sistema, evitando la detección, amplifica el riesgo y prolonga el período de impacto.
  6. Bloqueo de Sesiones Bancarias:
    • El troyano puede cerrar sesiones bancarias a la fuerza, lo que impide al usuario acceder a sus cuentas y detectar actividad fraudulenta de manera inmediata.
    • Esto puede aumentar el tiempo que los atacantes tienen para realizar transacciones maliciosas.
  7. Capacidades de Manipulación:
    • Guildma tiene la capacidad de emular entradas de teclado y mouse, bloquear teclas de método abreviado y ejecutar y filtrar archivos.
    • Estas acciones permiten a los atacantes manipular el sistema a su favor y dificultan la respuesta del usuario.
  8. Campañas de Spam Específicas:
    • La distribución de Guildma se realiza a través de campañas de spam altamente específicas y engañosas.
    • La sofisticación de estas campañas aumenta la probabilidad de éxito en la infección de sistemas.

Origen y Motivación

El origen y la motivación de Guildma se vinculan estrechamente con su diseño como troyano bancario altamente sofisticado dirigido principalmente a usuarios en Brasil. Surgió con el propósito de llevar a cabo operaciones maliciosas centradas en la exfiltración de información financiera y la realización de transacciones no autorizadas. Su motivación subyacente se encuentra en la obtención de ganancias ilícitas a través del robo de credenciales bancarias, la recopilación de datos sensibles y la posterior explotación de la información capturada. La sofisticación técnica de Guildma, junto con su capacidad para adaptarse a diferentes entornos y su enfoque en instituciones financieras brasileñas, evidencian una motivación clara hacia la perpetración de actividades cibernéticas fraudulentas con el objetivo primordial de obtener beneficios económicos.