Bancos, e-mails y hasta Netflix amenazados por el malware Guildma

Avast informa que desde principios de 2019 bloqueó más de 155.000 intentos de infección del malware Guildma, pero habrían sido alcanzados cerca de 27.000 usuarios no protegidos. La compañía de seguridad digital Avast describe que Guildma posee una herramienta de acceso remoto (RAT), spyware, así como de robo de contraseñas, además de tener la capacidad de actuar como los troyanos bancarios.


Anteriormente, Guildma atacó a usuarios y servicios en Brasil e infectó solamente a computadoras operadas en portugués, pero el malware está ahora acechando a 130 bancos y otros 75 servicios en línea, como Netflix, Facebook, Amazon y Google Mail en todo el mundo, aunque se ha mantenido alejado de las computadoras operadas en inglés. El Laboratorio de Amenazas de Avast (Avast Threat Labs) ha estado monitoreando al malware Guildma por varios meses y recientemente publicaron un análisis detallado de su comportamiento.

Correos electrónicos de phishing seleccionados que están causando las infecciones

Guildma se esparce a través de correos electrónicos de phishing a blancos específicos, ya sea que tome la forma de facturas, reportes de impuestos, invitaciones y mensajes similares. Los correos son personalizados y se dirigen a sus víctimas por su nombre. Se cree que los cibercriminales que están detrás del malware obtienen la información de dirección de correo y nombre a través de filtraciones de datos disponibles en la darknet o usan datos robados de usuarios previamente infectados, con el objeto de atacar a otros. En los correos se adjunta un archivo ZIP, el cual contiene un LNK malicioso, enviado a través de sitios web infectados, alquilados o comprados. Cuando un usuario abre el archivo malicioso LNK, este infringe la herramienta de la línea de Windows Management Instrumentation Command y discretamente descarga un archivo XSL malicioso. Este archivo XSL descarga todos los módulos de Guildma y ejecuta un cargador de primera etapa que incluye todos los otros módulos de malware. En ese momento, el malware se activa y aguarda las órdenes de un servidor de comando y control de interacciones específicas del usuario, como abrir un sitio web de uno de los servicios blanco de ataque.

Guildma -advierte Avast– también se infiltra lentamente a través de computadoras infectadas para encontrar archivos relacionados con aplicaciones bancarias, ventanas que pertenezcan a esas aplicaciones e incluso a ventanas de navegadores con sitios de banca digital abiertos. En Argentina podemos tener los ejemplos de: Banco Santader, Banco Provincia, Banco Patagonia, entre otros. Los servicios de email también utilizados en México y Argentina como live, outlook, yahoo, google, y redes sociales como Facebook, Twitter, Instagram y Netflix,  e incluso servicios de pago como PayPal y sitios de e-commere aliexpress, ebay y amazon.

Si no detecta ninguna ventana o programa que pertenezca a alguno de los bancos de esta lista, Guildma busca en los escritorios, los correos electrónicos de clientes de servicios como Netflix, Amazon y Facebook abiertos en ventanas de navegadores. Cuando Guildma detecta un servicio de su lista, es capaz de proceder con una serie de acciones, incluido el robo de credenciales de acceso, capturas de pantalla, intercepción de los clicks del mouse y del teclado o asume el control remoto de la computadora para manipular archivos. Además, Guildma puede descargar más archivos y ejecutarlos.

“Guildma es un malware muy complejo y modular que da soporte a diversas funcionalidades y está experimentando un rápido desarrollo, expandiendo el rango de sus blancos, que van desde los bancos de Brasil, hasta bancos utilizados en otros países de Latinoamérica”, dijo Adolf Streda, investigador de malware de Avast.

Detectando a Guildma

Si un dispositivo es infectado con Guildma, los usuarios pueden experimentar una débil conexión de red, debido a que se envían capturas de pantalla a través de la Internet, se acapara la línea, o la computadora envía respuestas con retraso. Guildma puede impedir que algunos accesos directos del teclado funcionen e incluso desconectar las cuentas activas y cerrar ventanas del navegador con el fin de forzar a los usuarios a entrar nuevamente a sus cuentas, para así robarles su información de ingreso.

Protegiendo a los usuarios de Guildma

Los softwares antivirus, como el Avast Free Antivirus, pueden detectar malwares como Guildma. Adicionalmente, los usuarios deben evitar abrir archivos adjuntos o enlaces incluidos en correos electrónicos que parecen provenir de compañías de retail o de bancos. También se deben verificar a los supuestos remitentes y preguntarles si los correos recibidos efectivamente fueron enviados por ellos.

Cantidad de usuarios de Avast que han visto Guildma en la primera mitad de 2019. Guildma ha intentado infectar a 27,000 usuarios de Avast en total.

Algunos ejemplos de los blancos elegidos por Guildma:

Bancos

Argentina:

bancodecomercio.com[.]ar

bancoprovincia

santanderrio.com[.]ar

bancogalicia[.]com

bbvafrances.com[.]ar

macro.com[.]ar

hsbc.com[.]ar
bancocredicoop[.]coop

bancopatagonia[.]com

privatebank.citibank[.]com

hipotecario.com[.]ar

bancor.com[.]ar

supervielle.com[.]ar

bancosantafe.com[.]ar

bancosanjuan[.]com

itau.com[.]ar

comafi.com[.]ar

bancodelapampa.com[.]ar

bse.com[.]ar

bancoentrerios.com[.]ar

bancochubut.com[.]ar

bancotucuman.com[.]ar

bancodecorrientes.com[.]ar

nbch.com[.]ar

bice.com[.]ar

bpn.com[.]ar

bancoformosa.com[.]ar

bancocolumbia.com[.]ar

bancopiano.com[.]ar

bancosantacruz[.]com

bancocmf.com[.]ar

mariva.com[.]ar

bst.com[.]ar

bancosaenz.com[.]ar

bancobic[.]ao

redlink.com[.]ar

Web email services

mail.live[.]com

outlook.live[.]com

login.live[.]com

email.uol[.]com.br

mail.uol[.]com.br

mail.yahoo[.]com

login.yahoo[.]com

mail.google[.]com

accounts.google[.]com

mail.terra[.]com.br

Social sites/media:

facebook[.]com

twitter[.]com

Instagram[.]com

netflix[.]com

E-commerce/e-shops:

aliexpress[.]com

amazon[.]com

ebay[.]com

ricardoeletro[.]com

walmart[.]com
magazineluiza[.]com

Diversas urls:

uolhost[.]com

godaddy[.]com

gmx[.]com

ogin.r7[.]com 

Tags: , , , , , , , ,

Agencia
26 julio, 2019

Google advierte masivos ataques de spam, malware y phishing sobre Gmail

Llegan unos 18 millones de mensajes de malware y phishing solo a Gmail a diario y 240 millones de …

Seguir leyendo //

Descubren malware que roba cookies y toma control de redes sociales

Expertos de Kaspersky han descubierto dos nuevas modificaciones de malware para Android que, cuando se combinan, pueden robar las …

Seguir leyendo //

Malware se esconde detrás de estrellas de la música

Apostando en su popularidad, los cibercriminales se aprovechan activamente de los nombres de artistas y canciones sonadas, entre ellas …

Seguir leyendo //

El coronavirus ataca en la web

La compañía de ciberseguridad Kaspersky descubrió malware oculto en archivos falsos relacionados con supuestas recomendaciones para protegerse del virus

Las …

Seguir leyendo //