Há algum tempo, acredito que por volta do meio de 2024, analisei os dados da nossa telemetria para identificar quais eram as principais ameaças em circulação no Brasil naquele período. Na ocasião, notei uma mudança no padrão: os trojans bancários não ocupavam a primeira posição no ranking.

Se você não acompanha de perto essas tendências, vale destacar que, desde que venho observando os números, os trojans costumam liderar com folga. Essa quebra de padrão me deixou curioso para saber qual seria o cenário no início de 2025.

Como eu imaginava, os trojans voltaram a liderar as detecções de ameaças mais vistas no período. Veja abaixo a lista com as cinco ameaças mais detectadas entre janeiro e março de 2025.

  • Win32/Spy.Guildma.CU - 12.21%
  • Win32/Spy.Delf.RAY - 10.21%
  • Win32/VB.OSK - 7.77%
  • Win32/Spy.Guildma.CV - 4.52%
  • Win64/Rozena.SL - 4.45%

Como de costume, todas as ameaças afetam sistemas Windows. As quatro primeiras são focadas em arquitetura de 32 bits, e a quinta afeta apenas a arquitetura de 64 bits. Vale lembrar que, por questões de compatibilidade, malwares focados em 32 bits também podem ser executados em ambientes de 64 bits.

Abaixo, descrevo algumas características pertinentes a cada das ameaças que fazem parte do ranking:

Guildma (1ª e 4ª colocação)

trojan

Essa família de trojans bancários é, infelizmente, uma ameaça bastante difundida no Brasil. Nossa telemetria apontou que se trata de uma ameaça especializada, visto que suas detecções ocorriam apenas no nosso país. Dentre seus recursos maliciosos estão a captura de screenshots, emulação de teclado e mouse, e a capacidade de baixar novos arquivos para execução pelo próprio malware.

A capacidade de baixar novos recursos permite que o malware se adapte ao ambiente comprometido para, por exemplo, emular uma instituição bancária específica ou realizar alguma ação maliciosa que não havia sido prevista a princípio.

Delf (2ª colocação)

Com pouco mais de 10% das detecções no período, temos o trojan Delf, uma ameaça genérica que, assim como o Guildma e outros trojans bancários, possui capacidades de manipulação de tráfego web e instalação ou remoção de softwares para alcançar os objetivos do comprometimento.

VB (3ª colocação)

worm

Como o nome sugere, o malware é criado em Visual Basic e é o único worm dentre as cinco ameaças listadas. Sua característica principal é a alta capacidade de ocultação, podendo se infiltrar em arquivos de imagem, documentos do pacote Office e até se passar por pastas do sistema. Seu principal intuito é a destruição do sistema infectado. Vale lembrar que outras variantes deste tipo de ameaça podem direcionar seus esforços para comportamentos mais economicamente vantajosos para os criminosos.

Rozena (5ª colocação)

backdoor

Por se tratar de um backdoor, muitas campanhas maliciosas envolvendo este malware também se aproveitam de vulnerabilidades conhecidas para propagá-lo. A vulnerabilidade mais difundida atrelada a este malware é a Follina (CVE-2022-30190), que utiliza um documento do Microsoft Office modificado para executar ações maliciosas pelos criminosos. A severidade dessa vulnerabilidade é extremamente alta, pois permite a execução de comandos remotos.

Cada uma das ameaças citadas possui, além das características que mencionei, formas específicas de comprometimento de suas vítimas. Mesmo com as diversas possibilidades de comprometimento, é possível tomar algumas atitudes simples para evitar que as ameaças atinjam seus objetivos. Vejamos a seguir.

Como se proteger

  • Conscientização e capacitação: O Guildma e muitos outros malwares são distribuídos por meio de técnicas de engenharia social, como o phishing, por exemplo. Para evitar que essas abordagens, que por diversas vezes não contêm nenhum código malicioso a princípio, sejam bem-sucedidas, é importante realizar treinamentos de segurança focados em ensinar como os criminosos costumam abordar suas vítimas e identificar os detalhes que indicam que a comunicação é maliciosa.
  • Atualização de softwares: Existem formas de evitar que vulnerabilidades sejam exploradas, mas nenhuma delas tem um custo tão baixo quanto manter um processo de atualização de softwares que abranja todo o ambiente. A atualização deve, idealmente, abranger sistemas operacionais, serviços, softwares presentes em estações de trabalho e servidores, além de equipamentos de rede. Além dos novos recursos disponibilizados, as atualizações garantem dois pontos essenciais para o ambiente: que todas as vulnerabilidades previamente descobertas pelo fabricante foram mitigadas, e que, caso haja alguma vulnerabilidade nova, os cibercriminosos ainda não tiveram tanto tempo para identificá-la e eventualmente explorá-la.
  • Proteção completa em todo o ambiente: Possuir um software de proteção instalado em todos os hosts do ambiente ajuda a impedir que interações maliciosas, como tentativas de exploração de vulnerabilidades ou infecções por diversos tipos de malware, sejam bem-sucedidas. Também é importante configurar essas soluções de proteção de endpoint para monitorar constantemente a navegação e demais interações com a internet, pois isso ajuda a identificar comunicações potencialmente perigosas para o ambiente.

Importante:

Garanta que o software de proteção também esteja protegido por senha para realizar atividades administrativas, como pausar as proteções ou desinstalar o software. Essa senha deve ser diferente de quaisquer outras senhas administrativas usadas no ambiente e deve atender aos níveis de complexidade exigidos pelas boas práticas de segurança.