Guildma, o malware direcionado a atacar bancos, Netflix, Facebook, Amazon e Gmail
A empresa de segurança russa Avast vem acompanhando desde o início do ano as atividades de um malware chamado Guildma. A companhia, com base em suas análises, diz que a ameaça conta com uma ferramenta de acesso remoto (RAT), spyware, além de capacidades de roubo de senhas e trojans bancários.
As atividades do Guildma podem ser divididas em fases. Inicialmente o malware visava usuários e serviços no Brasil, infectando apenas computadores rodando em português. No entanto, a ameaça na fase atual, tem uma forma de atuação bem mais ampla.“O malware passa por mais de 130 bancos e 75 outros serviços na internet, como Netflix, Facebook, Amazon e Gmail, no mundo todo. No entanto, ainda evita computadores operando em inglês, explica a Avast.
Como o Guildma se propaga?
A Avast diz que Guildma se espalha por meio de e-mails de phishing direcionados, apresentando-se como faturas, relatórios de impostos, convites ou podem ser semelhantes a mensagens. Os e-mails são personalizados, no sentido de abordar suas vítimas pelo nome.
Os cibercriminosos por trás da campanha possivelmente obtêm essas informações, endereço de e-mail e nome, a partir de vazamentos de dados na darknet, ou usam dados roubados de usuários previamente infectados para atingir outras pessoas. Os e-mails contêm um arquivo ZIP anexo com um arquivo LNK malicioso1, enviado por websites infectados, alugados ou comprados.
Quando um usuário abre o arquivo LNK mal-intencionado, ele usa uma ferramenta de linha de comando do Windows Management Instrumentation e baixa silenciosamente um arquivo XSL também mal-intencionado. O arquivo XSL faz o download de todos os módulos do Guildma e executa um primeiro estágio, que carrega todos os outros módulos de malware. Em seguida, o malware torna-se ativo e aguarda por comandos de um servidor de comando e controle e / ou interações específicas do usuário, como a abertura de uma página web de um dos serviços alvo, diz a Avast.
Sites e serviços visados pelo Guildma
O Guildma rastreia os computadores infectados para encontrar arquivos relacionados ao aplicativo bancário, janelas que podem pertencer a esses aplicativos e até mesmo janelas do navegador com websites de e-banking abertos. Os sites e serviços rastreados são os seguintes:
paypal.com
pagseguro.uol.com.br
serasaexperian.com.br
sitenet.serasa.com.br
serviços.spc.org.br
mail.live.com
outlook.live.com
login.live.com
email.uol.com.br
mail.uol.com.br
mail.yahoo.com
login.yahoo.com
mail.google.com
accounts.google.com
mail.terra.com.br
aliexpress.com
amazon.com
ebay.com
ricardoeletro.com
walmart.com
magazineluiza.com
americanas.com.br
passarela.com.br
shoptime.com.br
groupon.com.br
boticario.com.br
pontofrio.com.br
centauro.com.br
peixeurbano.com.br
lojasrenner.com.br
comprafacil.com.br
avon.com.br
decolar.com
colombo.com.br
mercadolivre.com
extra.com.br
ultrafarma.com.br
kabum.com.br
netshoes.com.br
buscapé.com.br
chilibeans.com.br
casasbahia.com.br
dafiti.com.br
submarino.com.br
voeazul.com.br
voegol.com.br
tam.com.br
Netflix
Amazon
Facebook
Twitter
Instagram
Quando o Guildma detecta um dos serviços da sua lista, ele é capaz de realizar várias ações, incluindo o roubo de credenciais e contatos de login, captura de tela, interceptação de cliques do mouse e do teclado, controle remoto do computador, meios de pressionar teclas, clicar com o mouse e manipular arquivos. Além disso, o Guildma pode baixar mais arquivos e executá-los.
“O Guildma é um malware altamente modular e complexo que suporta uma ampla gama de funcionalidades e está atualmente em rápido desenvolvimento, expandindo a gama de bancos-alvo do Brasil para bancos utilizados em outros países da América Latina”, disse Adolf Streda, pesquisador de malware da Avast.
Comportamento de um dispositivo infectado pelo Guildma
Se um dispositivo estiver infectado pelo Guildma, os usuários poderão notar uma conexão de rede ruim devido às capturas de telas enviadas através da rede, invasão de linha ou por meio de respostas do computador com atraso. O Guildma também pode impedir que certos atalhos de teclado funcionem e pode até mesmo desconectar usuários ou fechar janelas de navegação, para forçar as pessoas a fazerem o login em suas contas novamente para roubar suas credenciais.
A Avast diz que foi capaz de proteger 27.000 usuários contra o Guildma, através de suas soluções de segurança.