A Avast bloqueou mais de 155.000 tentativas de infecção feitas pelo malware Guildma

A Avast [LSE: AVST], líder global em produtos de segurança digital, desde o início deste ano, protegeu cerca de 27.000 usuários contra o Guildma – um malware que inclui uma ferramenta de acesso remoto (RAT), spyware, além de capacidades de roubo de senhas e trojans bancários. Anteriormente, Guildma segmentava usuários e serviços no Brasil, infectando apenas computadores rodando em português. Mas, agora, o malware passa por mais de 130 bancos e 75 outros serviços na internet, como Netflix, Facebook, Amazon e Gmail, no mundo todo. No entanto, ainda evita computadores operando em inglês. O Laboratório de Ameaças da Avast acompanha o Guildma há vários meses e, agora, publica uma análise detalhada sobre o malware.

E-mails de phishing direcionados que levam à infecção

O Guildma se espalha por meio de e-mails de phishing direcionados, apresentando-se como faturas, relatórios de impostos, convites ou podem ser semelhantes a mensagens. Os e-mails são personalizados, no sentido de abordar suas vítimas pelo nome. Os cibercriminosos por trás da campanha possivelmente obtêm essas informações, endereço de e-mail e nome, a partir de vazamentos de dados na darknet, ou usam dados roubados de usuários previamente infectados para atingir outras pessoas. Os e-mails contêm um arquivo ZIP anexo com um arquivo LNK malicioso1, enviado por websites infectados, alugados ou comprados. Quando um usuário abre o arquivo LNK mal-intencionado, ele usa uma ferramenta de linha de comando do Windows Management Instrumentation e baixa silenciosamente um arquivo XSL também mal-intencionado. O arquivo XSL faz o download de todos os módulos do Guildma e executa um primeiro estágio, que carrega todos os outros módulos de malware. Em seguida, o malware torna-se ativo e aguarda por comandos de um servidor de comando e controle e / ou interações específicas do usuário, como a abertura de uma página web de um dos serviços alvo.

O Guildma rastreia os computadores infectados para encontrar arquivos relacionados ao aplicativo bancário, janelas que podem pertencer a esses aplicativos e até mesmo janelas do navegador com websites de e-banking abertos, incluindo ainda paypal[.]com, pagseguro.uol[.]com.br e serasaexperian[.]com.br, sitenet.serasa[.]com.br e servicos.spc[.]org.br. Caso não detecte nenhuma janela ou programa pertencente a um dos bancos da sua lista2, o Guildma busca por determinados clientes de e-mail no desktop (como serviços de webmail do mail.live[.]com, outlook.live[.]com, login.live[.]com, email.uol[.]com.br, mail.uol[.]com.br, mail.yahoo[.]com, login.yahoo[.]com, mail.google[.]com, accounts.google[.]com e mail.terra[.]com.br) e serviços como Netflix, Amazon e Facebook abertos nas janelas do navegador. Também estão na mira twitter[.]com e Instagram[.]com. Dentre alguns dos websites de compras online no alvo dos cibercriminosos, há também: aliexpress[.]com, amazon[.]com, ebay[.]com, ricardoeletro[.]com, walmart[.]com, magazineluiza[.]com, americanas[.]com.br, passarela[.]com.br, shoptime[.]com.br, groupon[.]com.br, boticario[.]com.br, pontofrio[.]com.br, centauro[.]com.br, peixeurbano[.]com.br, lojasrenner[.]com.br, comprafacil[.]com.br, avon[.]com.br, decolar[.]com, colombo[.]com.br, mercadolivre[.]com, extra[.]com.br, ultrafarma[.]com.br, kabum[.]com.br, netshoes[.]com.br, buscape[.]com.br, chillibeans[.]com.br, casasbahia[.]com.br, dafiti[.]com.br e submarino[.]com.br. Há ainda companhias aéreas: voeazul[.]com.br, voegol[.]com.br e tam[.]com.br.

Quando o Guildma detecta um dos serviços da sua lista, ele é capaz de realizar várias ações, incluindo o roubo de credenciais e contatos de login, captura de tela, interceptação de cliques do mouse e do teclado, controle remoto do computador, meios de pressionar teclas, clicar com o mouse e manipular arquivos. Além disso, o Guildma pode baixar mais arquivos e executá-los.

“O Guildma é um malware altamente modular e complexo que suporta uma ampla gama de funcionalidades e está atualmente em rápido desenvolvimento, expandindo a gama de bancos-alvo do Brasil para bancos utilizados em outros países da América Latina”, disse Adolf Streda, pesquisador de malware da Avast.

Detectando o Guildma

Se um dispositivo estiver infectado pelo Guildma, os usuários poderão notar uma conexão de rede ruim devido às capturas de telas enviadas através da rede, invasão de linha ou por meio de respostas do computador com atraso. O Guildma também pode impedir que certos atalhos de teclado funcionem e pode até mesmo desconectar usuários ou fechar janelas de navegação, para forçar as pessoas a fazerem o login em suas contas novamente para roubar suas credenciais.

Protegendo-se contra o Guildma

Softwares antivírus, como o Avast Free Antivirus, podem detectar malwares como o Guildma. Além disso, os usuários devem evitar a abertura de anexos ou links incluídos em emails que parecem ser de empresas de varejo ou bancos. Primeiramente, devem verificar com o suposto remetente se o e-mail realmente veio dele.

Uma análise completa do Guildma pode ser encontrada no blog Decoded Avast.

Exemplos de nomes do arquivo LNK:

Nome original

Tradução / Informação

nf-e00127532011181.lnk

Documento fiscal eletrônico (NF-e)

acordo-semparar.html.lnk

agreement.html.lnk

curriculum_completo_002.73569270.lnk

full_CV_002.73569270.lnk

nota_fiscal_eletronica.0028170201827.lnk

Documento fiscal eletrônico (NF-e)

abrir_documento63082628700.lnk

open_document63082628700.lnk

arquivo.gerado.em.03.01.2019.910.lnk

generated.archive03.01.2019.910.lnk

boletobradesco2786.pdf.lnk

Meio de pagamento

-calPNsQF0v5OntbAtGuqr6XL32OQU-DoHgngv_7ULdvHe1aCl_4v5AukFYZ4d79R9kFR4MflgB4xKd1mTTstmDeJ7hIKmq2_jwXORPbYwiVvJtq5PuLaxWnVeN0TiyJ6WU5Pi_i

5BqbQN3ENA9_neZO8FsCKMciciFDHy2Sdj8iryOX4HLN6nMazdrcx1j9HPxrENiBj3n59IIHenc0PH677u91lGagF7F5c1BKqfcWdCdu_fjEp5cIyXjsdwrGOMGgVlZxAXfYuEfW

Quantidade de usuários da Avast, que viram o Guildma no primeiro semestre de 2019. No total, o Guildma tentou infectar 27.000 usuários da Avast, sendo a maioria deles usuários brasileiros.

Bancos no alvo do Guildma

Argentina:

bancodecomercio.com[.]ar

bancoprovincia

santanderrio.com[.]ar

bancogalicia[.]com

bbvafrances.com[.]ar

macro.com[.]ar

hsbc.com[.]ar
bancocredicoop[.]coop

bancopatagonia[.]com

privatebank.citibank[.]com

hipotecario.com[.]ar

bancor.com[.]ar

supervielle.com[.]ar

bancosantafe.com[.]ar

bancosanjuan[.]com

itau.com[.]ar

comafi.com[.]ar

bancodelapampa.com[.]ar

bse.com[.]ar

bancoentrerios.com[.]ar

bancochubut.com[.]ar

bancotucuman.com[.]ar

bancodecorrientes.com[.]ar

nbch.com[.]ar

bice.com[.]ar

bpn.com[.]ar

bancoformosa.com[.]ar

bancocolumbia.com[.]ar

bancopiano.com[.]ar

bancosantacruz[.]com

bancocmf.com[.]ar

mariva.com[.]ar

bst.com[.]ar

bancosaenz.com[.]ar

bancobic[.]ao

redlink.com[.]ar

Colômbia:

colpatria[.]com

davivienda[.]com

grupobancolombia[.]com

bancopopular.com[.]co

bancodeoccidente.com[.]co

bancodebogota[.]com

bancocorpbanca.com[.]co

bancocajasocial[.]com

avvillas.com[.]co

Chile:

bancoestado[.]cl

bancochile[.]cl

login.bancochile[.]cl

bancocredichile[.]cl

santander[.]cl

banco.itau[.]cl

bci[.]cl

bice[.]cl

bancofalabella[.]cl

bancoedwards[.]cl

bancoripley[.]cl

corpbanca[.]cl

rbsbank[.]cl

bancosecurity[.]cl

bancopenta[.]cl

bancoparis[.]cl

Peru:

bancomercio.com[.]pe

corpebank2.icbc.com[.]cn

viabcp[.]com

banbif.com[.]pe

pichincha[.]pe

bbvacontinental[.]pe

interbank[.]pe

mibanco.com[.]pe

scotiabank.com[.]pe

bancognb.com[.]pe

bancofalabella[.]pe

bancoripley.com[.]pe

santander.com[.]pe

bancoazteca.com[.]pe

momentosbancocencosud[.]pe

visanet.com[.]pe

Equador:

pichincha[.]com

bancoguayaquil[.]com

bolivariano[.]com

bancomachala[.]com

bancodeloja.fin[.]ec

bcmanabi[.]com
banco-solidario[.]com

bancodelpacifico.com

bancopromerica[.]ec

bancodelaustro[.]com

bancoamazonas[.]com

unibanco[.]ec

bgr.com[.]ec

latam.citibank[.]com

bancocapital[.]com

bancointernacional.com[.]ec

bancofinca[.]com

produbanco[.]com

procreditecuador[.]com

coopnacional[.]com

cofiec.fin[.]ec

Uruguai:

bbva.com[.]uy

bps.gub[.]uy

brou.com[.]uy

santander.com[.]uy

itau.com[.]uy

China:

cncbinternational[.]com

citibank.com[.]cn

hsbc.com[.]cn

icbc.com[.]cn

boc[.]cn

Europa:

itau[.]eu

bbva[.]com

jpmorgan

bnpparibas

spdb.com[.]cn

bportugal[.]pt

santandertotta[.]pt

bancobpi[.]pt

deutschebank

bankinter[.]pt

barclays
millenniumbcp[.]pt

credit-suisse[.]com

privatbank[.]ua
bancobpi[.]pt

novobanco[.]pt

popularbank[.]com

Bancopopular

Serviços de webmail

mail.live[.]com

outlook.live[.]com

login.live[.]com

email.uol[.]com.br

mail.uol[.]com.br

mail.yahoo[.]com

login.yahoo[.]com

mail.google[.]com

accounts.google[.]com

mail.terra[.]com.br

Sites/ Mídias sociais:

facebook[.]com

twitter[.]com

Instagram[.]com

netflix[.]com

Serviços de pagamentos:

paypal[.]com

pagseguro.uol[.]com.br

serasaexperian[.]com.br

sitenet.serasa[.]com.br

servicos.spc[.]org.br

E-commerce/e-shops:

aliexpress[.]com

amazon[.]com

ebay[.]com

ricardoeletro[.]com

walmart[.]com
magazineluiza[.]com

americanas[.]com.br

efacil[.]com.br

clubedoricardo[.]com.br
connectparts[.]com.br
passarela[.]com.br

shoptime[.]com.br

kanui[.]com.br

ebit[.]com.br

compracerta[.]com.br

panvel[.]com

groupon[.]com.br

boticario[.]com.br

pontofrio[.]com.br

centauro[.]com.br

peixeurbano[.]com.br

lojasrenner[.]com.br

store.sony[.]com.br

comprafacil[.]com.br

maxmilhas[.]com.br

zattini[.]com.br

passarela[.]com.br

avon[.]com.br

decolar[.]com

colombo[.]com.br

mercadopago[.]com

mercadolivre[.]com

extra[.]com.br

ultrafarma[.]com.br

kabum[.]com.br

netshoes[.]com.br

passarela[.]com.br

paquetaesportes[.]com.br

buscape[.]com.br

chillibeans[.]com.br

connectparts[.]com.br

casasbahia[.]com.br

dafiti[.]com.br

Diversas URLs segmentadas:

uolhost[.]com

painelhost.uol[.]com.br

locaweb[.]com.br

grupobci[.]com.br

bvsnet[.]com.br

servicos.spc.org.br

voeazul[.]com.br

voegol[.]com.br

tam[.]com.br

submarino[.]com.br

godaddy[.]com

gmx[.]com

ig[.]com.br

ogin.r7[.]com