Avast detecta malwares direcionados para bancos, usuários de e-mails e Netflix

Foram bloqueados mais de 155.000 tentativas de infecção feitas pelo malware Guildma.

Compartilhar:

A Avast desde o início deste ano, protegeu cerca de 27.000 usuários contra o Guildma – um malware que inclui uma ferramenta de acesso remoto (RAT), spyware, além de capacidades de roubo de senhas e trojans bancários. Anteriormente, Guildma segmentava usuários e serviços no Brasil, infectando apenas computadores rodando em português. Mas, agora, o malware passa por mais de 130 bancos e 75 outros serviços na internet, como Netflix, Facebook, Amazon e Gmail, no mundo todo. No entanto, ainda evita computadores operando em inglês. O Laboratório de Ameaças da Avast acompanha o Guildma há vários meses e, agora, publica uma análise detalhada sobre o malware.

O Guildma se espalha por meio de e-mails de phishing direcionados, apresentando-se como faturas, relatórios de impostos, convites ou podem ser semelhantes a mensagens. Os e-mails são personalizados, no sentido de abordar suas vítimas pelo nome. Os cibercriminosos por trás da campanha possivelmente obtêm essas informações, endereço de e-mail e nome, a partir de vazamentos de dados na darknet, ou usam dados roubados de usuários previamente infectados para atingir outras pessoas. Os e-mails contêm um arquivo ZIP anexo com um arquivo LNK malicioso1, enviado por websites infectados, alugados ou comprados. Quando um usuário abre o arquivo LNK mal-intencionado, ele usa uma ferramenta de linha de comando do Windows Management Instrumentation e baixa silenciosamente um arquivo XSL também mal-intencionado. O arquivo XSL faz o download de todos os módulos do Guildma e executa um primeiro estágio, que carrega todos os outros módulos de malware. Em seguida, o malware torna-se ativo e aguarda por comandos de um servidor de comando e controle e / ou interações específicas do usuário, como a abertura de uma página web de um dos serviços alvo.

 

O Guildma rastreia os computadores infectados para encontrar arquivos relacionados ao aplicativo bancário, janelas que podem pertencer a esses aplicativos e até mesmo janelas do navegador com websites de e-banking abertos, incluindo ainda paypal[.]com, pagseguro.uol[.]com.br e serasaexperian[.]com.br, sitenet.serasa[.]com.br e servicos.spc[.]org.br. Caso não detecte nenhuma janela ou programa pertencente a um dos bancos da sua lista2, o Guildma busca por determinados clientes de e-mail no desktop (como serviços de webmail do mail.live[.]com, outlook.live[.]com, login.live[.]com, email.uol[.]com.br, mail.uol[.]com.br, mail.yahoo[.]com, login.yahoo[.]com, mail.google[.]com, accounts.google[.]com e mail.terra[.]com.br) e serviços como Netflix, Amazon e Facebook abertos nas janelas do navegador. Também estão na mira twitter[.]com e Instagram[.]com. Dentre alguns dos websites de compras online no alvo dos cibercriminosos, há também: aliexpress[.]com, amazon[.]com, ebay[.]com, ricardoeletro[.]com, walmart[.]com, magazineluiza[.]com, americanas[.]com.br, passarela[.]com.br, shoptime[.]com.br, groupon[.]com.br, boticario[.]com.br, pontofrio[.]com.br, centauro[.]com.br, peixeurbano[.]com.br, lojasrenner[.]com.br, comprafacil[.]com.br, avon[.]com.br, decolar[.]com, colombo[.]com.br, mercadolivre[.]com, extra[.]com.br, ultrafarma[.]com.br, kabum[.]com.br, netshoes[.]com.br, buscape[.]com.br, chillibeans[.]com.br, casasbahia[.]com.br, dafiti[.]com.br e submarino[.]com.br. Há ainda companhias aéreas: voeazul[.]com.br, voegol[.]com.br e tam[.]com.br.

 

Quando o Guildma detecta um dos serviços da sua lista, ele é capaz de realizar várias ações, incluindo o roubo de credenciais e contatos de login, captura de tela, interceptação de cliques do mouse e do teclado, controle remoto do computador, meios de pressionar teclas, clicar com o mouse e manipular arquivos. Além disso, o Guildma pode baixar mais arquivos e executá-los.

 

“O Guildma é um malware altamente modular e complexo que suporta uma ampla gama de funcionalidades e está atualmente em rápido desenvolvimento, expandindo a gama de bancos-alvo do Brasil para bancos utilizados em outros países da América Latina”, disse Adolf Streda, pesquisador de malware da Avast.

Detectando o Guildma

Se um dispositivo estiver infectado pelo Guildma, os usuários poderão notar uma conexão de rede ruim devido às capturas de telas enviadas através da rede, invasão de linha ou por meio de respostas do computador com atraso. O Guildma também pode impedir que certos atalhos de teclado funcionem e pode até mesmo desconectar usuários ou fechar janelas de navegação, para forçar as pessoas a fazerem o login em suas contas novamente para roubar suas credenciais.

Protegendo-se contra o Guildma

Softwares antivírus, como o Avast Free Antivirus, podem detectar malwares como o Guildma. Além disso, os usuários devem evitar a abertura de anexos ou links incluídos em emails que parecem ser de empresas de varejo ou bancos. Primeiramente, devem verificar com o suposto remetente se o e-mail realmente veio dele.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...
Security Report | Overview

GSI publica resolução do primeiro encontro do Comitê de Cibersegurança

O Comitê organizado e administrado pelo GSI definiu tanto o regimento interno do conselho quanto dividiu as atribuições dos Grupos...
Security Report | Overview

Avanço das deepfakes movimenta indústria em favor da detecção com IA embarcada

Segundo pesquisa da Kaspersky, o número de golpes por fake news de produções digitais teve um aumento de 900% em...
Security Report | Overview

Ministério da Ciência e Tecnologia amplia programa de incentivo a pesquisas sobre IA

Iniciativa vai acelerar projetos nas áreas de Saúde, Agronegócio, Gestão Corporativa, Finanças, TI e Telecom; Energia e Sismologia, Segurança, Defesa...