Guildma

Guildma es un troyano bancario altamente sofisticado diseñado específicamente para afectar a usuarios en Brasil. Aunque algunas variantes de este malware han intentado expandir su alcance a otras regiones, hasta ahora se ha observado que sus ataques están centrados en instituciones financieras brasileñas. Guildma es conocido por utilizar técnicas avanzadas de ejecución e infección, lo que lo convierte en uno de los troyanos bancarios más avanzados de la región. Además de apuntar a datos bancarios, el malware también intenta exfiltrar información relacionada con correos electrónicos, comercio electrónico y cuentas de servicios de streaming.

Funcionamiento

Guildma es un troyano bancario diseñado para llevar a cabo operaciones maliciosas dirigidas principalmente a usuarios en Brasil. Su funcionamiento técnico implica varias etapas y características avanzadas:

1. Distribución y Infección:
   • Guildma se propaga a través de campañas de spam, utilizando correos electrónicos engañosos con archivos adjuntos maliciosos o enlaces.
   • Los archivos maliciosos pueden estar en diversos formatos, como ejecutables, documentos PDF, archivos de oficina y JavaScript.
2. Verificación del Entorno:
   • Tras la infección, Guildma verifica si está ejecutándose en una máquina virtual o en un entorno "aislado".
   • Inspecciona la geolocalización del sistema y otros detalles para determinar su interés.
3. Comunicación con el Servidor C&C:
   • Guildma tiene la capacidad de comunicarse de manera avanzada con su servidor de Comando y Control (C&C).
   • Esta comunicación le proporciona versatilidad en la ejecución de sus operaciones maliciosas.
4. Recopilación de Información del Sistema:
   • Después de verificar el entorno, Guildma recopila información del sistema, como el nombre del dispositivo y el software instalado.
   • Se conecta al servidor C&C para enviar la información recopilada.
5. Monitoreo y Captura de Datos:
   • Guildma monitorea la actividad del usuario, especialmente cuando se abre un sitio web bancario relevante.
   • Puede tomar capturas de pantalla y registrar pulsaciones de teclas, lo que facilita el robo de credenciales de inicio de sesión y contraseñas.
6. Filtrado de Datos:
   • El troyano también se centra en la exfiltración de datos relacionados con correos electrónicos, comercio electrónico y cuentas de servicios de streaming.
   • Puede recopilar direcciones de correo electrónico, formularios de sitios web y listas de contactos de clientes de correo electrónico.
7. Acciones Maliciosas Adicionales:
   • Guildma tiene capacidades para emular entradas de teclado y mouse, bloquear teclas de método abreviado y ejecutar y filtrar archivos.
   • Puede reiniciar el sistema y realizar otras acciones para eludir la detección y persistir en el sistema.
8. Infiltración a través de Campañas Específicas:
   • Se ha observado que Guildma utiliza campañas de spam específicas con mensajes engañosos para persuadir a los usuarios a abrir archivos maliciosos.

Impacto y Consecuencias

El impacto y las consecuencias de Guildma, un troyano bancario altamente sofisticado, se manifiestan a través de diversas acciones técnicas dirigidas hacia la exfiltración de información sensible y la interrupción de la actividad normal del sistema. Aquí se detallan los aspectos técnicos relacionados con su impacto:

1. Riesgo de Pérdidas Financieras:
   • Guildma tiene como objetivo principal las instituciones financieras en Brasil, buscando robar credenciales bancarias y datos relacionados con transacciones financieras.
   • El troyano puede realizar transacciones no autorizadas en nombre del usuario, lo que resulta en pérdidas financieras significativas.
2. Exfiltración de Datos Sensibles:
   • Guildma está diseñado para exfiltrar una amplia gama de datos, incluyendo información relacionada con correos electrónicos, comercio electrónico y cuentas de servicios de streaming.
   • La exfiltración de datos puede conducir a la pérdida de información confidencial y a la violación de la privacidad del usuario.
3. Robo de Identidad:
   • Al capturar pulsaciones de teclas y recopilar información personal, Guildma puede facilitar el robo de identidad.
   • La información sustraída puede ser utilizada para realizar actividades fraudulentas en nombre del usuario afectado.
4. Monitoreo y Registro de Actividad:
   • Guildma monitorea la actividad del usuario, especialmente en sitios web bancarios, mediante la toma de capturas de pantalla y el registro de pulsaciones de teclas.
   • Esto no solo compromete la privacidad, sino que también permite a los atacantes obtener acceso a información confidencial.
5. Infección Silenciosa y Persistencia:
   • Guildma opera de manera sigilosa, infiltrándose en sistemas sin mostrar síntomas evidentes.
   • Su capacidad para persistir en el sistema, evitando la detección, amplifica el riesgo y prolonga el período de impacto.
6. Bloqueo de Sesiones Bancarias:
   • El troyano puede cerrar sesiones bancarias a la fuerza, lo que impide al usuario acceder a sus cuentas y detectar actividad fraudulenta de manera inmediata.
   • Esto puede aumentar el tiempo que los atacantes tienen para realizar transacciones maliciosas.
7. Capacidades de Manipulación:
   • Guildma tiene la capacidad de emular entradas de teclado y mouse, bloquear teclas de método abreviado y ejecutar y filtrar archivos.
   • Estas acciones permiten a los atacantes manipular el sistema a su favor y dificultan la respuesta del usuario.
8. Campañas de Spam Específicas:
   • La distribución de Guildma se realiza a través de campañas de spam altamente específicas y engañosas.
   • La sofisticación de estas campañas aumenta la probabilidad de éxito en la infección de sistemas.

Origen y Motivación

El origen y la motivación de Guildma se vinculan estrechamente con su diseño como troyano bancario altamente sofisticado dirigido principalmente a usuarios en Brasil. Surgió con el propósito de llevar a cabo operaciones maliciosas centradas en la exfiltración de información financiera y la realización de transacciones no autorizadas. Su motivación subyacente se encuentra en la obtención de ganancias ilícitas a través del robo de credenciales bancarias, la recopilación de datos sensibles y la posterior explotación de la información capturada. La sofisticación técnica de Guildma, junto con su capacidad para adaptarse a diferentes entornos y su enfoque en instituciones financieras brasileñas, evidencian una motivación clara hacia la perpetración de actividades cibernéticas fraudulentas con el objetivo primordial de obtener beneficios económicos.

• Relación de acciones para mitigar el riesgo de esta actividad maliciosa.