Avast detecta a Guildma un malware multifuncional que tiene en la mira a Netflix

Avast detecta a Guildma un malware multifuncional que tiene en la mira a Netflix

Avast detecta a Guildma un malware multifuncional que tiene en la mira a Netflix, cuentas bancarias y correos de clientes. Avast bloqueó más de 155 mil intentos de infección del malware Guildma

Buenos Aires, Argentina, 08 de agosto del 2019.— Avast [LSE: AVST], líder global de productos de seguridad digital, le ha brindado protección, desde principios de 2019, a cerca de 27.000 usuarios que han sido víctimas del malware Guildma, que posee una herramienta de acceso remoto (RAT), spyware, así como de robo de contraseñas, además de tener la capacidad de actuar como los troyanos bancarios.

Anteriormente, Guildma atacó a usuarios y servicios en Brasil e infectó solamente a computadoras operadas en portugués, pero el malware está ahora acechando a 130 bancos y otros 75 servicios en línea, como Netflix, Facebook, Amazon y Google Mail en todo el mundo, aunque se ha mantenido alejado de las computadoras operadas en inglés. El Laboratorio de Amenazas de Avast (Avast Threat Labs) ha estado monitoreando al malware Guildma por varios meses y recientemente publicaron un análisis detallado de su comportamiento.

Correos electrónicos de phishing seleccionados que están causando las infecciones

Guildma se esparce a través de correos electrónicos de phishing a blancos específicos, ya sea que tome la forma de facturas, reportes de impuestos, invitaciones y mensajes similares. Los correos son personalizados y se dirigen a sus víctimas por su nombre.

Se cree que los cibercriminales que están detrás del malware obtienen la información de dirección de correo y nombre a través de filtraciones de datos disponibles en la darknet o usan datos robados de usuarios previamente infectados, con el objeto de atacar a otros. En los correos se adjunta un archivo ZIP, el cual contiene un LNK malicioso, enviado a través de sitios web infectados, alquilados o comprados.

Cuando un usuario abre el archivo malicioso LNK, este infringe la herramienta de la línea de Windows Management Instrumentation Command y discretamente descarga un archivo XSL malicioso. Este archivo XSL descarga todos los módulos de Guildma y ejecuta un cargador de primera etapa que incluye todos los otros módulos de malware. En ese momento, el malware se activa y aguarda las órdenes de un servidor de comando y control de interacciones específicas del usuario, como abrir un sitio web de uno de los servicios blanco de ataque.

Guildma también se infiltra lentamente a través de computadoras infectadas para encontrar archivos relacionados con aplicaciones bancarias, ventanas que pertenezcan a esas aplicaciones e incluso a ventanas de navegadores con sitios de banca digital abiertos. En Argentina podemos tener los ejemplos de: Banco Santander, Banco Provincia, Banco Patagonia, entre otros.

Los servicios de email también utilizados en México y Argentina como live, outlook, yahoo, google, y redes sociales como Facebook, Twitter, Instagram y Netflix, e incluso servicios de pago como PayPal y sitios de e-commerce aliexpress, ebay y amazon.

Si no detecta ninguna ventana o programa que pertenezca a alguno de los bancos de esta lista, Guildma busca en los escritorios, los correos electrónicos de clientes de servicios como Netflix, Amazon y Facebook abiertos en ventanas de navegadores. Cuando Guildma detecta un servicio de su lista, es capaz de proceder con una serie de acciones, incluido el robo de credenciales de acceso, capturas de pantalla, intercepción de los clicks del mouse y del teclado o asume el control remoto de la computadora para manipular archivos. Además, Guildma puede descargar más archivos y ejecutarlos.

Guildma es un malware muy complejo y modular que da soporte a diversas funcionalidades y está experimentando un rápido desarrollo, expandiendo el rango de sus blancos, que van desde los bancos de Brasil, hasta bancos utilizados en otros países de Latinoamérica”, dijo Adolf Streda, Investigador de malware de Avast.

Detectando a Guildma

Si un dispositivo es infectado con Guildma, los usuarios pueden experimentar una débil conexión de red, debido a que se envían capturas de pantalla a través de la Internet, se acapara la línea, o la computadora envía respuestas con retraso. Guildma puede impedir que algunos accesos directos del teclado funcionen e incluso desconectar las cuentas activas y cerrar ventanas del navegador con el fin de forzar a los usuarios a entrar nuevamente a sus cuentas, para así robarles su información de ingreso.

Protegiendo a los usuarios de Guildma

Los softwares antivirus, como el Avast Free Antivirus, pueden detectar malwares como Guildma. Adicionalmente, los usuarios deben evitar abrir archivos adjuntos o enlaces incluidos en correos electrónicos que parecen provenir de compañías de retail o de bancos. También se deben verificar a los supuestos remitentes y preguntarles si los correos recibidos efectivamente fueron enviados por ellos.

Un análisis completo de Guildma puede encontrarse en el Decoded Blog de Avast.

Algunos ejemplos de los blancos elegidos por Guildma:

Bancos de Argentina:

  • bancodecomercio.com[.]ar
  • bancoprovincia
  • santanderrio.com[.]ar
  • bancogalicia[.]com
  • bbvafrances.com[.]ar
  • macro.com[.]ar
  • hsbc.com[.]ar
    bancocredicoop[.]coop
  • bancopatagonia[.]com
  • privatebank.citibank[.]com
  • hipotecario.com[.]ar
  • bancor.com[.]ar
  • supervielle.com[.]ar
  • bancosantafe.com[.]ar
  • bancosanjuan[.]com
  • itau.com[.]ar
  • comafi.com[.]ar
  • bancodelapampa.com[.]ar
  • bse.com[.]ar
  • bancoentrerios.com[.]ar
  • bancochubut.com[.]ar
  • bancotucuman.com[.]ar
  • bancodecorrientes.com[.]ar
  • nbch.com[.]ar
  • bice.com[.]ar
  • bpn.com[.]ar
  • bancoformosa.com[.]ar
  • bancocolumbia.com[.]ar
  • bancopiano.com[.]ar
  • bancosantacruz[.]com
  • bancocmf.com[.]ar
  • mariva.com[.]ar
  • bst.com[.]ar
  • bancosaenz.com[.]ar
  • bancobic[.]ao
  • redlink.com[.]ar

Web email services

  • mail.live[.]com
  • outlook.live[.]com
  • login.live[.]com
  • email.uol[.]com.br
  • mail.uol[.]com.br
  • mail.yahoo[.]com
  • login.yahoo[.]com
  • mail.google[.]com
  • accounts.google[.]com
  • mail.terra[.]com.br

Social sites/media:

  • facebook[.]com
  • twitter[.]com
  • Instagram[.]com
  • netflix[.]com

E-commerce/e-shops:

  • aliexpress[.]com
  • amazon[.]com
  • ebay[.]com
  • ricardoeletro[.]com
  • walmart[.]com
  • magazineluiza[.]com

Diversas urls:

  • uolhost[.]com
  • godaddy[.]com
  • gmx[.]com
  • ogin.r7[.]com 
Share