guildma-campaign - RunkIntel

# Campanha Guildma - Trojan Bancario LATAM > [!info] Visão Geral > **Guildma** (também conhecido como Astaroth) e um dos malwares bancarios brasileiros mais sofisticados e persistentes da historia do cibercrime no Brasil, ativo desde 2015. Faz parte da familia **Tetrade** de trojans bancarios brasileiros identificada pela Kaspersky, ao lado de Grandoreiro, Javali e Melcoz. O malware evoluiu continuamente ao longo de anos, incorporando técnicas avancadas de evasão como uso de **LOLBins** (Living off the Land Binaries), **NTFS Alternaté Data Streams (ADS)** para ocultacao de payloads, e canais C2 via **YouTube, Facebook e Google** (abusando de plataformas legitimas). No pico em 2019, o grupo registrava mais de **50.000 tentativas de ataque por dia** no Brasil. A campanha expandiu para varios paises da América do Sul a partir de 2019. ## Visão Geral O Guildma é mais do que um trojan bancário — é um projeto de P&D criminal em operação contínua há mais de uma década. Ativo desde 2015 e ainda em plena atividade, o malware passou por gerações de evolução técnica que refletem a sofisticação crescente do cibercrime brasileiro: de keylogger simples para um sistema modular que abusa de binários legítimos do Windows (LOLBins), esconde payloads em NTFS Alternate Data Streams e usa canais de comunicação C2 disfarçados em descrições de vídeo do YouTube e perfis do Facebook. A [[financial|Kaspersky]] o classificou como parte da família **Tetrade** — as quatro famílias de trojans bancários brasileiros que se tornaram ameaça global: Guildma/Astaroth, Grandoreiro, Javali e Melcoz. O que distingue o Guildma de outros trojans bancários é sua especialização profunda no contexto financeiro e burocrático brasileiro. Os vetores de infecção não são genéricos — são NF-es falsas, boletos adulterados, comúnicados fraudulentos da SEFAZ e do DETRAN. O malware compreende o fluxo de pagamentos via boleto e, após 2020, via PIX, interceptando transações no momento em que o usuário as realiza. No pico de atividade em 2019, a Kaspersky registrou mais de 50.000 tentativas de ataque por dia apenas no Brasil, atacando clientes dos principais bancos: Itaú, Bradesco, Caixa, Banco do Brasil, Santander, Nubank e Inter. A partir de 2019, o Guildma expandiu suas operações para o restante da América Latina — Chile, Peru, Colômbia, Uruguai e Equador — adaptando módulos para os sistemas bancários locais de cada país. Essa expansão transformou o grupo de operação local em ameaça regional, com o modelo técnico sendo replicado por outros grupos da família Tetrade que posteriormente atingiram mercados como Argentina, México e Espanha. O impacto regulatório foi concreto: o Banco Central do Brasil endureceu requisitos de autenticação em aplicativos bancários e a adoção de biometria em bancos digitais foi parcialmente acelerada pela pressão dos casos Guildma/Tetrade. > [!latam] Alta Relevância para o Brasil e América Latina > O Guildma é **origem 100% brasileira** — o grupo desenvolvedor e operador é nacional, com expertise específica no sistema financeiro brasileiro. É a maior ameaça bancária ativa na região, monitorada pelo **Banco Central do Brasil** e pela **Febraban** como risco sistêmico ao setor financeiro. Os 50.000 ataques por dia registrados em 2019 impactaram clientes de todos os grandes bancos brasileiros. A expansão para Chile, Peru e Colômbia torna o Guildma a principal ameaça bancária transnacional de origem LATAM. Setores de varejo e governo também são alvos regulares. ## Attack Flow ```mermaid graph TB A["Acesso Inicial Spear-phishing NF-e falsa ou boleto"] --> B["Execução LOLBins - WMIC, BITSAdmin Certutil para download"] B --> C["Evasão Payload em NTFS ADS Arquivos ocultos em streams"] C --> D["C2 Canais YouTube e Facebook Descricoes de video/perfis"] D --> E["Espionagem Keylogging e screenshots Interceptação bancaria"] E --> F["Roubo de Credenciais Módulos de bancos Overlay de telas bancarias"] F --> G["Exfiltração Dados bancarios enviados para servidor C2"] ``` > **Atores:** [[guildma]] | **Malware:** [[guildma]], [[s0373-astaroth]] | **Foco:** [[financial|setor financeiro]] Brasil e LATAM ## Cronologia ```mermaid timeline title Guildma - Linha do Tempo 2015 : Primeiras amostras identificadas - ataque exclusivo a bancos brasileiros 2016 : Evolução do módulo de interceptação bancaria 2018 : Adocao de LOLBins e NTFS ADS para evasão avancada 2019 : Pico de atividade - 50.000 ataques por dia no Brasil 2019 : Kaspersky publica relatorio Tetrade - familia Guildma identificada 2020 : Expansao para Chile, Uruguay, Peru e Colombia 2021 : Novos módulos de roubo de criptomoedas adicionados 2023 : Campanha ainda ativa com novas variantes identificadas ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spear-phishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | NF-e falsa, boletos e comúnicados SEFAZ fraudulentos | | Msiexec | [[t1218-007-msiexec\|T1218.007]] | LOLBin para download e execução do payload inicial | | Obfuscated Files or Information | [[t1027-005-indicator-removal-from-tools\|T1027.005]] | Payload oculto em NTFS Alternaté Data Streams | | Application Layer Protocol | [[t1071-001-web-protocols\|T1071.001]] | C2 via descricoes de video YouTube e perfis Facebook | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de digitacao em sessoes bancarias online | | Credentials from Web Browsers | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais salvas em Chrome e Firefox | | Screen Capture | [[t1113-screen-capture\|T1113]] | Screenshots de sessoes de internet banking | ## Vitimas e Impacto O Guildma e um dos trojans bancarios de maior impacto na América Latina: **Escala no Brasil:** - 50.000+ tentativas de ataque por dia no pico de 2019 (Kaspersky) - Atinge clientes dos principais bancos brasileiros: Itau, Bradesco, Caixa, Banco do Brasil, Santander, Nubank, Inter - Foco em pagamentos via boleto bancario e PIX (após 2020) - Alvos incluem pessoas fisicas, PMEs e grandes corporacoes **Técnicas de fraude específicas:** - **Overlay de jánelas bancarias**: exibe tela falsa sobre o internet banking real para capturar credenciais - **Interceptação de OTP**: captura códigos de autenticação de dois fatores via keylogging - **Redirecionamento de boletos**: altera chave PIX e linha digitavel de boletos para roubar pagamentos - **Acesso remoto**: em alguns casos, permite que o atacante opere o computador da vitima em tempo real **Expansao LATAM:** - Chile: foco em bancos locais e plataformas de pagamento digital - Peru e Colombia: alvos incluem bancos regionais e fintechs - Uruguay e Ecuador: expansao recente com módulos adaptados para bancos locais ## Relevância LATAM e Brasil O Guildma e um caso de estudo central para a cibersegurança no Brasil e LATAM: - **Origem 100% brasileira**: o grupo desenvolvedor e operador e brasileiro, com expertise específica no [[financial|sistema financeiro]] e cultura locais - **Exploração de particularidades brasileiras**: NF-e, boletos bancarios, [[government|SEFAZ]], DETRAN - vetores de ataque adaptados ao contexto fiscal e burocrático do Brasil - **Maior ameaça bancaria ativa na regiao**: o [[financial|Banco Central do Brasil]] e a Febraban monitoram o Guildma como uma das principais ameaças ao sistema financeiro nacional - **Influencia em grupos regionais**: técnicas inovadoras do Guildma (LOLBins, NTFS ADS, C2 social media) foram incorporadas por outros grupos criminosos da familia Tetrade que expandiram para Argentina, Mexico e Espanha - **Impacto em regulação**: o caso contribuiu para o endurecimento de regulamentacoes de autenticação do [[bacen|Banco Central]] e adocao de biometria em aplicativos bancarios brasileiros ## Mitigação **Controles para usuarios e organizacoes:** - Nao abrir anexos de NF-e, boletos ou comúnicados de entidades públicas sem verificação - Verificar autenticidade de boletos bancarios via internet banking oficial - Manter Windows atualizado - LOLBins exploram binarios legitimos do sistema **Controles tecnicos:** - Aplicar [[m1042-disable-or-remove-feature-or-program|M1042]] - restringir uso de WMIC, BITSAdmin, Certutil via AppLocker/WDAC - Implementar [[m1049-antivirus-antimalware|M1049]] - soluções com detecção comportamental de trojans bancarios - Monitorar via [[ds-0011-module-load|DS-0011]] - carregamento incomum de DLLs em processos legitimos do Windows - Usar [[ds-0022-file-access|DS-0022]] - acesso a Alternaté Data Streams em diretorios do sistema ## Referências - [1](https://securelist.com/tetrade-brazilian-banking-malware/97779/) Kaspersky Securelist - Tetrade: Brazilian Banking Malware Goes Global (2020) - [2](https://www.welivesecurity.com/2020/03/05/guildma-devil-in-disguise/) ESET WeLiveSecurity - Guildma: The Devil in Disguise (2020) - [3](https://blog.talosintelligence.com/astaroth-banking-malware/) Talos Intelligence - Astaroth Banking Malware (2019) - [4](https://www.microsoft.com/en-us/security/blog/2019/07/08/dismantling-a-fileless-campaign-microsoft-defender-atp-next-gen-protection-exposes-astaroth-attack/) Microsoft Security - Dismantling Astaroth Fileless Campaign (2019) - [5](https://unit42.paloaltonetworks.com/guildma-banking-trojan/) Unit 42 - Guildma Banking Trojan Analysis (2020) - [6](https://www.tempest.com.br/blog/guildma-malware-bancario-brasileiro/) Tempest Security - Guildma: Malware Bancario Brasileiro (2020) - [7](https://www.bleepingcomputer.com/news/security/astaroth-info-stealer-uses-youtube-channel-descriptions-for-c2/) BleepingComputer - Astaroth Uses YouTube for C2 (2019)