# Astaroth/Guildma Campaign ## Visão Geral **Astaroth** (também rastreado como **Guildma** pela ESET) é um trojan bancário modular brasileiro ativo desde 2015, exclusivamente focado em usuários de instituições financeiras brasileiras. A campanha representa um dos casos mais estudados de evolução de malware financeiro na América Latina: ao longo de uma década, o grupo por trás do Astaroth transformou completamente seus vetores de distribuição - de e-mails de phishing em 2015 para worms de autopropagação via WhatsApp em 2026 - mantendo o mesmo núcleo Delphi enquanto adicionava componentes modernos em Python. O malware utiliza extensivamente **LOLBins** (Living-off-the-Land Binaries) - executáveis legítimos do Windows como `rundll32.exe`, `wmic.exe` e `BITSAdmin.exe` - para executar payloads maliciosos sem criar binários suspeitos em disco. Essa técnica, mapeada pelo MITRE ATT&CK como [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]], dificulta significativamente a detecção por soluções de segurança baseadas em assinaturas. **Motivação:** Fraude financeira - roubo de credenciais bancárias, dados de sessão e transferências não autorizadas. ## Attack Flow ```mermaid flowchart TD A["📱 WhatsApp - ZIP malicioso<br/>(Boto Cor-de-Rosa, 2026)<br/>OU<br/>📧 E-mail phishing - link/anexo"] --> B["VBScript ofuscado<br/>download de componentes"] B --> C["Python runtime bundled<br/>+ zapbiu.py (worm WhatsApp)"] C --> D["Instalador Astaroth<br/>MSI dropper com AutoIt loader"] D --> E["LOLBins: rundll32.exe<br/>wmic.exe, BITSAdmin.exe"] E --> F["Módulo de propagação<br/>Coleta contatos WhatsApp<br/>Envia ZIPs para contatos"] E --> G["Módulo bancário<br/>Monitora URLs de bancos brasileiros"] G --> H["Keylogging + Screenshots<br/>Captura credenciais em tempo real"] H --> I["Exfiltração para C2<br/>logs R1.log, screenshots, dados de sessão"] ``` ## Técnicas LOLBins Utilizadas | Técnica MITRE | Binário Abusado | Uso no Astaroth | |---------------|----------------|-----------------| | [[t1218-system-binary-proxy-execution\|T1218 - System Binary Proxy Execution]] | `rundll32.exe` | Carrega módulos DLL maliciosos sem criar processo suspeito | | T1047 | `wmic.exe` | Executa comandos de distribuição em estágios da infecção | | T1197 | `BITSAdmin.exe` | Download de componentes via Background Intelligent Transfer Service | | T1218.011 | `ExtExport.exe` | DLL side-loading para bypass de controles de execução | ## Evolução da Campanha | Período | Técnica de Distribuição | Novidade | |---------|------------------------|---------| | 2015-2018 | E-mails de phishing com anexos | Núcleo Delphi modular inicial | | 2019-2020 | E-mails com JS droppers, XSL scripts | LOLBins intensificados; análise ESET (Guildma) | | 2021-2023 | Malspam, GitHub como C2 resiliente, DGA | Domínios gerados algoritmicamente para C2 | | 2024 | Clusters PINEAPPLE/Water Makara | Phishing e-mail refinado com lures específicos | | 2025-2026 | **Worm WhatsApp** (Boto Cor-de-Rosa) | Python + Delphi; autopropagação por contatos | ## Atores Envolvidos O grupo [[GOLD HERON]] (nomenclatura Secureworks) - também referênciado como o operador do Guildma - é um ator de ameaça brasileiro de motivação financeira, ativo continuamente desde 2015. Características: - Fluência no ecossistema bancário brasileiro (conhecem os sistemas, URLs e interfaces dos bancos-alvo) - Capacidade de desenvolvimento sustentada - núcleo Delphi mantido e atualizado por mais de uma década - Adoção rápida de novos vetores de distribuição (migração para WhatsApp demonstra adaptabilidade) - Presença confirmada na LATAM: Argentina, México e Chile além do Brasil ## Impacto LATAM/Brasil O Astaroth é uma das ameaças financeiras **mais relevantes e persistentes** para o Brasil: - **Alvo exclusivo:** Exclusivamente bancos e fintechs brasileiras são monitorados pelo módulo bancário - **Worm WhatsApp (2026):** A campanha Boto Cor-de-Rosa transformou o malware em uma ameaça de autopropagação - cada vítima passa a ser um vetor, infectando seus contatos automaticamente - **Presença LATAM:** Amostras confirmadas no Brasil, Argentina, México e Chile - com foco esmagador no Brasil - **Impacto financeiro:** Roubo de credenciais bancárias e dados de sessão com potencial de transferências não autorizadas - Organizações brasileiras devem monitorar específicamente URLs de bancos nacionais nos logs de segurança de endpoint ## Indicadores Categorias de indicadores de comprometimento: - Execução de `rundll32.exe`, `wmic.exe` ou `BITSAdmin.exe` com argumentos incomuns ou originados de scripts - Arquivos AutoIt `.au3` ou compilados AutoIt em diretórios temporários - Arquivos `.log` com dados de keystrokes (ex: `r1.log`) em AppData - Conexões de rede para domínios de C2 com DGA (padrão de nomes aleatórios) - Processos Python legítimos originados de diretórios de usuário não-técnico ## Mitigação - Bloquear execução de macros e scripts (VBS, JS) a partir de anexos de e-mail e mensagens WhatsApp - Implementar Application Whitelisting - restringir execução de LOLBins em contextos não autorizados - Monitorar via EDR: cadeia de execução anômala envolvendo `rundll32.exe`, `wmic.exe`, `BITSAdmin.exe` - Treinar usuários para não abrir ZIPs recebidos via WhatsApp - mesmo de contatos conhecidos (worm se autopropaga) - Manter soluções de segurança de endpoint atualizadas com detecção comportamental **Malware:** [[s0373-astaroth]] **TTPs:** [[t1566-phishing|T1566 - Phishing]] · [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] · [[t1055-process-injection|T1055 - Process Injection]] · [[t1113-screen-capture|T1113 - Screen Capture]] **Campanhas relacionadas:** [[grandoreiro-banking-campaign|Grandoreiro Banking Campaign]] · [[gopix-campaign|GoPix Campaign]] · [[venon-banking-campaign-2026|VENON Banking Campaign 2026]] **Setores:** [[financial]] **Contexto:** [[sources|CERT.br]] · [[GOLD HERON]]