A Avast bloqueou mais de 155.000 tentativas de infecção feitas pelo malware Guildma
A Avast [LSE: AVST], líder global em produtos de segurança digital, desde o início deste ano, protegeu cerca de 27.000 usuários contra o Guildma – um malware que inclui uma ferramenta de acesso remoto (RAT), spyware, além de capacidades de roubo de senhas e trojans bancários. Anteriormente, Guildma segmentava usuários e serviços no Brasil, infectando apenas computadores rodando em português. Mas, agora, o malware passa por mais de 130 bancos e 75 outros serviços na internet, como Netflix, Facebook, Amazon e Gmail, no mundo todo. No entanto, ainda evita computadores operando em inglês. O Laboratório de Ameaças da Avast acompanha o Guildma há vários meses e, agora, publica uma análise detalhada sobre o malware.
E-mails de phishing direcionados que levam à infecção
O Guildma se espalha por meio de e-mails de phishing direcionados, apresentando-se como faturas, relatórios de impostos, convites ou podem ser semelhantes a mensagens. Os e-mails são personalizados, no sentido de abordar suas vítimas pelo nome. Os cibercriminosos por trás da campanha possivelmente obtêm essas informações, endereço de e-mail e nome, a partir de vazamentos de dados na darknet, ou usam dados roubados de usuários previamente infectados para atingir outras pessoas. Os e-mails contêm um arquivo ZIP anexo com um arquivo LNK malicioso1, enviado por websites infectados, alugados ou comprados. Quando um usuário abre o arquivo LNK mal-intencionado, ele usa uma ferramenta de linha de comando do Windows Management Instrumentation e baixa silenciosamente um arquivo XSL também mal-intencionado. O arquivo XSL faz o download de todos os módulos do Guildma e executa um primeiro estágio, que carrega todos os outros módulos de malware. Em seguida, o malware torna-se ativo e aguarda por comandos de um servidor de comando e controle e / ou interações específicas do usuário, como a abertura de uma página web de um dos serviços alvo.
O Guildma rastreia os computadores infectados para encontrar arquivos relacionados ao aplicativo bancário, janelas que podem pertencer a esses aplicativos e até mesmo janelas do navegador com websites de e-banking abertos, incluindo ainda paypal[.]com, pagseguro.uol[.]com.br e serasaexperian[.]com.br, sitenet.serasa[.]com.br e servicos.spc[.]org.br. Caso não detecte nenhuma janela ou programa pertencente a um dos bancos da sua lista2, o Guildma busca por determinados clientes de e-mail no desktop (como serviços de webmail do mail.live[.]com, outlook.live[.]com, login.live[.]com, email.uol[.]com.br, mail.uol[.]com.br, mail.yahoo[.]com, login.yahoo[.]com, mail.google[.]com, accounts.google[.]com e mail.terra[.]com.br) e serviços como Netflix, Amazon e Facebook abertos nas janelas do navegador. Também estão na mira twitter[.]com e Instagram[.]com. Dentre alguns dos websites de compras online no alvo dos cibercriminosos, há também: aliexpress[.]com, amazon[.]com, ebay[.]com, ricardoeletro[.]com, walmart[.]com, magazineluiza[.]com, americanas[.]com.br, passarela[.]com.br, shoptime[.]com.br, groupon[.]com.br, boticario[.]com.br, pontofrio[.]com.br, centauro[.]com.br, peixeurbano[.]com.br, lojasrenner[.]com.br, comprafacil[.]com.br, avon[.]com.br, decolar[.]com, colombo[.]com.br, mercadolivre[.]com, extra[.]com.br, ultrafarma[.]com.br, kabum[.]com.br, netshoes[.]com.br, buscape[.]com.br, chillibeans[.]com.br, casasbahia[.]com.br, dafiti[.]com.br e submarino[.]com.br. Há ainda companhias aéreas: voeazul[.]com.br, voegol[.]com.br e tam[.]com.br.
Quando o Guildma detecta um dos serviços da sua lista, ele é capaz de realizar várias ações, incluindo o roubo de credenciais e contatos de login, captura de tela, interceptação de cliques do mouse e do teclado, controle remoto do computador, meios de pressionar teclas, clicar com o mouse e manipular arquivos. Além disso, o Guildma pode baixar mais arquivos e executá-los.
“O Guildma é um malware altamente modular e complexo que suporta uma ampla gama de funcionalidades e está atualmente em rápido desenvolvimento, expandindo a gama de bancos-alvo do Brasil para bancos utilizados em outros países da América Latina”, disse Adolf Streda, pesquisador de malware da Avast.
Detectando o Guildma
Se um dispositivo estiver infectado pelo Guildma, os usuários poderão notar uma conexão de rede ruim devido às capturas de telas enviadas através da rede, invasão de linha ou por meio de respostas do computador com atraso. O Guildma também pode impedir que certos atalhos de teclado funcionem e pode até mesmo desconectar usuários ou fechar janelas de navegação, para forçar as pessoas a fazerem o login em suas contas novamente para roubar suas credenciais.
Protegendo-se contra o Guildma
Softwares antivírus, como o Avast Free Antivirus, podem detectar malwares como o Guildma. Além disso, os usuários devem evitar a abertura de anexos ou links incluídos em emails que parecem ser de empresas de varejo ou bancos. Primeiramente, devem verificar com o suposto remetente se o e-mail realmente veio dele.
Uma análise completa do Guildma pode ser encontrada no blog Decoded Avast.
Exemplos de nomes do arquivo LNK:
Nome original
Tradução / Informação
nf-e00127532011181.lnk
Documento fiscal eletrônico (NF-e)
acordo-semparar.html.lnk
agreement.html.lnk
curriculum_completo_002.73569270.lnk
full_CV_002.73569270.lnk
nota_fiscal_eletronica.0028170201827.lnk
Documento fiscal eletrônico (NF-e)
abrir_documento63082628700.lnk
open_document63082628700.lnk
arquivo.gerado.em.03.01.2019.910.lnk
generated.archive03.01.2019.910.lnk
boletobradesco2786.pdf.lnk
Meio de pagamento
Quantidade de usuários da Avast, que viram o Guildma no primeiro semestre de 2019. No total, o Guildma tentou infectar 27.000 usuários da Avast, sendo a maioria deles usuários brasileiros.
Bancos no alvo do Guildma
Argentina:
bancodecomercio.com[.]ar
bancoprovincia
santanderrio.com[.]ar
bancogalicia[.]com
bbvafrances.com[.]ar
macro.com[.]ar
hsbc.com[.]ar
bancocredicoop[.]coopbancopatagonia[.]com
privatebank.citibank[.]com
hipotecario.com[.]ar
bancor.com[.]ar
supervielle.com[.]ar
bancosantafe.com[.]ar
bancosanjuan[.]com
itau.com[.]ar
comafi.com[.]ar
bancodelapampa.com[.]ar
bse.com[.]ar
bancoentrerios.com[.]ar
bancochubut.com[.]ar
bancotucuman.com[.]ar
nbch.com[.]ar
bice.com[.]ar
bpn.com[.]ar
bancoformosa.com[.]ar
bancocolumbia.com[.]ar
bancopiano.com[.]ar
bancosantacruz[.]com
bancocmf.com[.]ar
mariva.com[.]ar
bst.com[.]ar
bancosaenz.com[.]ar
bancobic[.]ao
redlink.com[.]ar
Colômbia:
colpatria[.]com
davivienda[.]com
grupobancolombia[.]com
bancopopular.com[.]co
bancodeoccidente.com[.]co
bancodebogota[.]com
bancocorpbanca.com[.]co
bancocajasocial[.]com
avvillas.com[.]co
Chile:
bancoestado[.]cl
bancochile[.]cl
login.bancochile[.]cl
bancocredichile[.]cl
santander[.]cl
banco.itau[.]cl
bci[.]cl
bice[.]cl
bancofalabella[.]cl
bancoedwards[.]cl
bancoripley[.]cl
corpbanca[.]cl
rbsbank[.]cl
bancosecurity[.]cl
bancopenta[.]cl
bancoparis[.]cl
Peru:
bancomercio.com[.]pe
corpebank2.icbc.com[.]cn
viabcp[.]com
banbif.com[.]pe
pichincha[.]pe
bbvacontinental[.]pe
interbank[.]pe
mibanco.com[.]pe
scotiabank.com[.]pe
bancognb.com[.]pe
bancofalabella[.]pe
bancoripley.com[.]pe
santander.com[.]pe
bancoazteca.com[.]pe
momentosbancocencosud[.]pe
visanet.com[.]pe
Equador:
pichincha[.]com
bancoguayaquil[.]com
bolivariano[.]com
bancomachala[.]com
bancodeloja.fin[.]ec
bcmanabi[.]com
banco-solidario[.]combancopromerica[.]ec
bancodelaustro[.]com
bancoamazonas[.]com
unibanco[.]ec
bgr.com[.]ec
latam.citibank[.]com
bancocapital[.]com
bancofinca[.]com
produbanco[.]com
procreditecuador[.]com
coopnacional[.]com
cofiec.fin[.]ec
Uruguai:
bbva.com[.]uy
bps.gub[.]uy
brou.com[.]uy
santander.com[.]uy
itau.com[.]uy
China:
cncbinternational[.]com
citibank.com[.]cn
hsbc.com[.]cn
icbc.com[.]cn
boc[.]cn
Europa:
itau[.]eu
bbva[.]com
jpmorgan
bnpparibas
spdb.com[.]cn
bportugal[.]pt
santandertotta[.]pt
bancobpi[.]pt
deutschebank
bankinter[.]pt
barclays
millenniumbcp[.]ptcredit-suisse[.]com
privatbank[.]ua
bancobpi[.]ptnovobanco[.]pt
popularbank[.]com
Bancopopular
Serviços de webmail
mail.live[.]com
outlook.live[.]com
login.live[.]com
email.uol[.]com.br
mail.uol[.]com.br
mail.yahoo[.]com
login.yahoo[.]com
mail.google[.]com
accounts.google[.]com
mail.terra[.]com.br
Sites/ Mídias sociais:
facebook[.]com
twitter[.]com
Instagram[.]com
netflix[.]com
Serviços de pagamentos:
paypal[.]com
pagseguro.uol[.]com.br
serasaexperian[.]com.br
sitenet.serasa[.]com.br
servicos.spc[.]org.br
E-commerce/e-shops:
aliexpress[.]com
amazon[.]com
ebay[.]com
ricardoeletro[.]com
walmart[.]com
magazineluiza[.]comamericanas[.]com.br
efacil[.]com.br
clubedoricardo[.]com.br
connectparts[.]com.br
passarela[.]com.brshoptime[.]com.br
kanui[.]com.br
ebit[.]com.br
compracerta[.]com.br
panvel[.]com
groupon[.]com.br
boticario[.]com.br
pontofrio[.]com.br
centauro[.]com.br
peixeurbano[.]com.br
lojasrenner[.]com.br
store.sony[.]com.br
comprafacil[.]com.br
maxmilhas[.]com.br
zattini[.]com.br
passarela[.]com.br
avon[.]com.br
decolar[.]com
colombo[.]com.br
mercadopago[.]com
mercadolivre[.]com
extra[.]com.br
ultrafarma[.]com.br
kabum[.]com.br
netshoes[.]com.br
passarela[.]com.br
paquetaesportes[.]com.br
buscape[.]com.br
chillibeans[.]com.br
connectparts[.]com.br
casasbahia[.]com.br
dafiti[.]com.br
Diversas URLs segmentadas:
uolhost[.]com
painelhost.uol[.]com.br
locaweb[.]com.br
grupobci[.]com.br
bvsnet[.]com.br
voeazul[.]com.br
voegol[.]com.br
tam[.]com.br
submarino[.]com.br
godaddy[.]com
gmx[.]com
ig[.]com.br
ogin.r7[.]com