guildma - RunkIntel

# Guildma (Astaroth) - Banking Trojan Brasileiro com Worm WhatsApp > **ATIVO | Banking Trojan | Windows | Brasil/LATAM** - Guildma (também conhecido como Astaroth) e um dos mais sofisticados banking trojans da América Latina, ativo desde 2015. Em 2026, adicionou capacidade de **worm via WhatsApp** (campanha Boto Cor-de-Rosa), propagando-se automaticamente pelos contatos das vitimas. Desenvolvido por operadores brasileiros e considerado pela ESET o banking trojan mais avancado da regiao. ## Visão Geral **Guildma**, também conhecido como **Astaroth**, e um banking trojan escrito em Delphi desenvolvido por operadores brasileiros, ativo desde 2015. E considerado pela ESET o **banking trojan mais impactante e avancado da América Latina**, com campanhas que atingiram mais de 50.000 deteccoes por dia em seu pico (agosto de 2019). O malware pertence a "tetrada de banking trojans LATAM" - conjunto de familias relacionadas que compartilham TTPs: Guildma, [[mekotio|Mekotio]], Javali e Grandoreiro. | Campo | Detalhe | |-------|---------| | **Tipo** | Banking Trojan | | **Linguagem** | Delphi (principal) + Python (módulo worm 2026) + VBScript | | **Primeira observacao** | 2015 | | **Status** | Ativo - novas campanhas em 2025-2026 | | **Alvo principal** | Usuarios bancarios brasileiros | | **Clusters** | Water Makara (Trend Micro), PINEAPPLE (Google TAG), STAC3150 (Sophos) | ## Evolução Recente (2025-2026) ### Campanha Boto Cor-de-Rosa (Janeiro 2026) - WhatsApp Worm Em janeiro de 2026, a Acronis Threat Research Unit identificou a campanha **Boto Cor-de-Rosa**, que adicionou um **módulo de propagação worm via WhatsApp** ao Guildma: - **Módulo Python** - coleta a lista de contatos do WhatsApp da vitima e envia automaticamente um ZIP malicioso para cada contato - **Propagação worm** - capacidade de auto-propagação sem interação adicional do operador - **95%+ das vitimas no Brasil** - foco regional mantido ### Campanha STAC3150 (Setembro 2025 - Sophos) Campanha ativa distribuindo Guildma via WhatsApp com ZIPs contendo downloader scripts, com mais de 95% das vitimas no Brasil. ### Campanhas Water Makara / PINEAPPLE (2024) Dois clusters distintos - Water Makara (Trend Micro) e PINEAPPLE (Google TAG) - distribuindo Guildma via e-mails de spear-phishing impersonando a **Receita Federal** brasileira com documentos falsos de declaracao de imposto de renda. ## Como Funciona ### Attack Flow - Banco do Brasil / Receita Federal ```mermaid graph TB A["📧 Phishing inicial Receita Federal / WhatsApp ZIP T1566 - Phishing"] A --> B["📦 VBScript ou LNK mshta.exe executa HTA T1218.005 - Mshta LOLBin"] B --> C["⬇ PowerShell downloader Componentes modulares T1059.001 - PowerShell"] C --> D["🐍 Módulo Python (worm) Coleta contatos WhatsApp Envia ZIP para todos"] C --> E["🎯 Módulo Delphi (banking) DLL sideloading T1574.002 C2 via YouTube dead drops T1102"] E --> F["🖼 Overlay bancario Jánela falsa sobre banco real T1185 / T1056.001 / T1113"] F --> G["💸 Roubo de credenciais PIX / senhas bancarias Controle remoto do dispositivo"] classDef delivery fill:#e74c3c,color:#fff classDef exec fill:#e67e22,color:#fff classDef download fill:#f39c12,color:#fff classDef worm fill:#9b59b6,color:#fff classDef banking fill:#3498db,color:#fff classDef overlay fill:#27ae60,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B exec class C download class D worm class E banking class F overlay class G impact ``` ### Capacidades de Banking Fraud - **Overlay de jánelas falsas** - pop-ups dinâmicos que imitam sites bancarios, configurados via C2 (nao hardcoded no binario - alta flexibilidade operacional) - **Monitoramento de URLs bancarias** - ativacao automatica quando usuario acessa URLs financeiras - **Roubo de credenciais PIX** e dados bancarios em tempo real - **Emulacao de teclado e mouse** - controle remoto do dispositivo infectado - **Bloqueio de atalhos** - desabilita Alt+F4 e outras saidas para prender o usuario em jánelas falsas ### Distribuição C2 via YouTube (Inovacao) Os enderecos C2 sao **codificados e armazenados em descricoes de canal do YouTube** - base64 + algoritmo de criptografia personalizado, delimitados por `|||`. Isso permite que o operador atualize a infraestrutura C2 simplesmente editando uma descrição de video público, sem necessidade de recompilar o malware. ### Técnicas de Evasão - **DLL sideloading** via [[t1574-002-dll-side-loading|T1574.002]] com binarios legitimos do Windows - **Living off the Land** - abuso de `mshta.exe`, AutoHotKey, `certutil` - **Arquitetura modular** - funcionalidades divididas em componentes separados para dificultar análise - **Ofuscacao de strings** com algoritmo proprio baseado em Casbaneiro + Mispadu ## Timeline ```mermaid timeline title Guildma (Astaroth) - Linha do Tempo 2015 : Primeiras amostras de banking trojan brasileiro 2019-08 : Pico de atividade - 50.000+ deteccoes por dia (ESET) 2022 : Documentado por Microsoft, ESET e Trend Micro 2024-09 : Water Makara - spear-phishing Receita Federal com NF-e 2024-09 : PINEAPPLE (Google TAG) distribui Guildma via Receita Federal lures 2025-09 : STAC3150 (Sophos) - campanhas via WhatsApp com ZIPs 2026-01 : Boto Cor-de-Rosa - adicao de worm WhatsApp (Python) ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Descrição | |--------|---------|-----------| | Acesso Inicial | [[t1566-phishing\|T1566]] | E-mails impersonando Receita Federal + ZIP malicioso | | Execução | [[t1218-005-mshta\|T1218.005]] | Proxy de execução via mshta.exe (LOLBin) | | Execução | [[t1059-001-powershell\|T1059.001]] | Downloader + coleta de contatos WhatsApp | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Auto-start via chave de registro Run | | Evasão | [[t1574-002-dll-side-loading\|T1574.002]] | DLL sideloading com binarios legitimos | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogger integrado | | Coleta | [[t1113-screen-capture\|T1113]] | Capturas de tela automaticas | | Coleta | [[t1185-browser-session-hijacking\|T1185]] | Overlay sobre apps bancarios reais | | C2 | [[t1102-web-service\|T1102]] | Dead drops via descricoes de canal do YouTube | ## Relevância LATAM e Brasil Guildma e o banking trojan Windows mais relevante para o Brasil por cinco razoes: 1. **Origem brasileira**: desenvolvido por operadores brasileiros com conhecimento profundo do sistema bancario nacional - layout de telas, fluxos PIX, apps específicos dos principais bancos (Itau, Bradesco, Santander, Caixa, Nubank). 2. **95%+ das vitimas no Brasil**: foco quase exclusivo no mercado brasileiro, com adaptacoes regionais únicas (integracao PIX, lures Receita Federal, uso de WhatsApp como vetor). 3. **Worm WhatsApp (2026)**: capacidade de propagação automatica via WhatsApp e especialmente efetiva no Brasil, onde o app tem penetracao de +90% da populacao adulta e e usado como canal de comunicação primario. 4. **Tetrada LATAM**: junto com [[mekotio|Mekotio]], Grandoreiro e Javali, forma um ecossistema criminoso brasileiro que opera de forma coordenada e compartilha técnicas - o dominio de um implica monitoramento dos outros. 5. **Persistência operacional**: ativo ha mais de 10 anos com atualizacoes continuas - o modelo de C2 via YouTube demonstra capacidade operacional para evitar takedowns, diferente do [[s0531-grandoreiro|Grandoreiro]] (desmantelado em 2024). ## Detecção - Monitorar execução de `mshta.exe` iniciada por clients de e-mail, navegadores ou processos de usuario inesperados - Detectar scripts VBScript ou PowerShell fazendo requisicoes HTTP para dominios do YouTube/Google nao esperados (padrao dead drop C2) - Alertar sobre criação de jánelas sobrepostas (overlay) sobre processos bancarios - windows com `SetWindowsHookEx` em processos de terceiros - Monitorar acesso ao banco de dados de contatos do WhatsApp por processos Python inesperados - Identificar DLL sideloading - DLLs carregadas de diretorios temporarios por binarios legitimos do Windows - Detectar AutoHotKey executando scripts de automacao de interface grafica nao esperados ## Contexto - Tetrada LATAM | Familia | Cluster | Status (2026) | |---------|---------|---------------| | **Guildma** | Water Makara, PINEAPPLE, STAC3150 | Ativo (worm WhatsApp 2026) | | [[mekotio\|Mekotio]] | Culebra (CrowdStrike) | Ativo (campanhas 2024-2025) | | Grandoreiro | - | Parcialmente desmantelado (Interpol, 2024) | | Javali | - | Menos ativo | ## Relacoes - [[mekotio|Mekotio]] - familia irma LATAM banking trojan com TTPs similares - [[zanubis|Zanubis]] - banking trojan Android analogamente sofisticado para o Peru/LATAM - [[lumma-stealer|Lumma Stealer]] - infostealer global frequentemente co-presente em ambientes brasileiros - [[t1566-phishing|T1566 - Phishing]] - técnica principal de acesso inicial - [[financial|financeiro]] - setor financeiro brasileiro como alvo principal - [[government|governo]] - orgaos governamentais (Receita Federal) usados como lure - [[_malware]] - índice de malware no vault ## Referências - [1] [Acronis - Boto Cor-de-Rosa WhatsApp Worm (ján/2026)](https://thehackernews.com/2026/01/whatsapp-worm-spreads-astaroth-banking.html) - [2] [Trend Micro - Water Makara Astaroth Resurfaces (2024)](https://thehackernews.com/2024/10/astaroth-banking-malware-resurfaces-in.html) - [3] [CrowdStrike - LATAM eCrime Malware Evolution 2024](https://www.crowdstrike.com/en-us/blog/latam-ecrime-malware-evolution-2024/) - [4] [ESET - Guildma o Banking Trojan mais avancado do LATAM](https://cryptoid.com.br/criptografia-identificação-digital-id-biometria/o-guildma-e-um-trojan-bancario-da-america-latina-que-tem-como-alvo-o-brasil-a-eset-acredita-que-esse-e-o-mais-impactante-e-avancado-trojan-bancario-na-regiao/) - [5] [MITRE ATT&CK - S0423 (Astaroth)](https://attack.mitre.org/software/S0423/)