El troyano brasileño Guildma da el salto a España

Publicado por buguroo - 27/06/2019

A mediados de mayo detectamos una nueva campaña de Guildma que afectaba a entidades bancarias en España, además de diferentes países de Latinoamérica y Portugal. Recientemente hemos seguido recibiendo muestras con pequeños cambios en el código.

Anteriormente, este troyano había afectado principalmente a usuarios de lengua portuguesa en Brasil. Además, tiene muchas referencias en el código a palabras en portugués y está desarrollado en Delphi, lo que podría indicar que su origen está en Brasil.

Guildma es un troyano bancario que dispone de múltiples funcionalidades. Desde Spyware recogiendo eventos del usuario, Banker con múltiples objetivos especificados hasta RAT con sockets abiertos para que el atacante mande órdenes.

Todas estas funciones hacen que sea un troyano polivalente y peligroso para el usuario final.

1. ¿Cómo funciona?

Guildma dispone de diferentes fases para evitar ser detectado por Antivirus, Sandbox y researchers de Malware.

1.1. Downloader

La primera fase de infección es un archivo Visual Basic Script (.vbs) ofuscado. Los criminales suelen utilizar este tipo de scripts porque son fácilmente mutables y versátiles.

Una vez desofuscado, podemos observar que este script lo primero que comprueba es si está en alguna máquina virtual. Para ello simplemente mira el nombre, el modelo y la versión de la BIOS que tiene la máquina y los compara con un listado de propiedades habituales de los sistemas de virtualización más conocidos.

guildma-02

Posteriormente, se descarga varios ficheros, entre ellos un binario cifrado y la DLL que hace de loader.

1.2. Loader

El Loader o cargador del malware final es ejecutado por el fichero .vbs con el siguiente comando:

“C:\Windows\System32\rundll32.exe c:\kbellqciv\ikcpkb.dll,ikcpkb”

El “entry point” establecido es un trozo de código que no hace nada relevante, por ello ejecuta otro diferente que es el “loader” en sí. Esto es una simple protección para evitar detecciones en sandbox automáticas donde no se pueda especificar que “export” ejecutar de la DLL.

Esta DLL se encarga de cargar el contenido cifrado del archivo “Yxwhrpmocf1.fco”. El cual es realmente el malware en cuestión.

1.3. Guildma

Guildma es un troyano bancario que dispone principalmente de las siguientes funcionalidades:

  • Spyware: Puede recoger los movimientos de ratón, recopilar las teclas pulsadas (Keylogger), etc.
  • Launcher: Lanza ejecutables externos de Nirsoft para realizar tareas de Stealer y así evitar implementar esas funciones. Normalmente, los almacena como recursos del binario.
  • Banker: Afecta a multitud de entidades bancarias de diferentes países.
  • RAT: Abre diferentes sockets en la máquina que reciben órdenes del atacante. 

El malware tiene varios enfoques a la hora de robar a víctimas bancarias, esto lo realiza para ejecutar tareas específicas en algunas de las entidades.

  • General: Cuando detecta mediante una URL una entidad bancaria de la lista de objetivos, y además se encuentra con una clave, token o código de SMS según la entidad bancaria registra la información que el usuario escribe
  • Específico: En algunos casos específicos presenta formularios para engañar al usuario y evitar la autenticación de doble factor de diversas entidades bancarias.

guildma-02-1

Además, contiene módulos de robo genéricos de credenciales de navegador y email utilizando herramientas externas del fabricante NirSoft:

  • Mail passview
  • Chrome pass
  • Password fox
  • IE pass view

La comunicación y parte de la funcionalidad las realiza abriendo varios sockets que permiten al criminal interactuar con la víctima de manera manual o automática.

El socket principal le permite entre otras cosas:

  • Autenticarse con el C&C.
  • Activar otro socket que se encarga de ir notificando los eventos de teclado.
  • Ejecutar un pseudo script para realizar eventos de teclado en el cliente. Por ejemplo, para rellenar automáticamente formularios del banco.
  • Ejecutar un pseudo script para controlar el ratón de la víctima.
  • Otro socket se encarga de ir capturando imágenes de la pantalla de la víctima e ir enviándolas al C&C.


El diseño del troyano le permite ser manejado por un criminal fácilmente y permite realizar el fraude de maneras muy específicas adaptadas para cada entidad.

2. Nueva campaña en España y Latinoamérica

En la campaña en España se ha detectado que se han distribuido emails con ficheros adjuntos de Visual Basic Script (.vbs). Principalmente, se hacen pasar por ficheros PDF que simulan facturas.

Hay multitud de entidades bancarias afectadas entre las que se encuentran algunas entidades que normalmente no son afectados de manera directa por otro tipo de malware bancario más común en España.

El diseño del troyano le permite adaptarlo a otras entidades externas rápidamente como ha sido este caso. De ese modo, no necesita un desarrollo constante y una especialización en cada tipo de entidad.


3. Conclusión

Este tipo de malware bancario con una alta presencia en Brasil se ha ido adaptando y aunque principalmente suelen tener una distribución significativa en su país de origen o en regiones de Latinoamérica, se ha descubierto que intenta adaptarse al mayor número de entidades de otros países.

Además, es un malware con una funcionalidad muy diversa que permite a los criminales realizar un ataque más sofisticado a sus víctimas para evitar ser detectado en la medida de lo posible por las soluciones antifraude de las entidades bancarias evitando la doble autenticación y patrones de entorno entre otras protecciones.

A medida que las diferentes entidades implantan soluciones de seguridad más avanzadas, se espera ver una profesionalización mayor en este tipo de malware, simulando en gran medida el comportamiento de un usuario y de ese modo poder cometer el fraude sin levantar sospechas.

Nuestra solución bugFraud se caracteriza por seguir dando soporte a los peligrosos ataques bancarios de inyecciones en JavaScript, y a este tipo de ataques que están creciendo basados en RAT con interacción de la víctima, en los cuales el atacante .

 

Temas: malware, troyano bancario, Informes de amenazas

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Analizando el riesgo de malware bancario en Android vs. iOS

read more

Atractivo criminal y comportamiento virtual seguro

read more

Overlays: La técnica preferida por los bankers en Android

read more