En los últimos días se dio a conocer de un nuevo caso de malware orientado a comprometer la seguridad bancaria así como también a varios servicios populares a nivel mundial. Según los expertos involucrados en la investigación se trata de una herramienta de acceso remoto (RAT), spyware, así como de robo de contraseñas, y que además actúa como troyano bancario.
A esta compleja pieza de malware multifuncional se le conoce como Guildma, y se estima que es una reimplementación o que pertenece a la familia del malware Astaroth. Este software malicioso de origen brasileño, en primera instancia atacó a usuarios y servicios de Brasil, ahora el malware está acechando a 130 bancos y otros 75 servicios en línea de gran renombre, como Netflix, Facebook, Amazon y Google en todo el mundo, alejado un poco de los países de habla inglesa, entre los nuevos países afectados se encuentra Argentina. A continuación el mapa de ataque con mayor parte de víctimas en Brasil.
Esta amenaza se propaga a través de correos electrónicos de phishing dirigidos que se hacen pasar por facturas, informes fiscales, invitaciones, entre otros. Como es costumbre, los correos electrónicos están personalizados en el sentido de que se dirigen a sus víctimas por su nombre. Aquí algunos ejemplos de los archivos adjunto en los correos maliciosos.
anexo pedido.htm.zip
curriculo.htm.zip
curriculum_.htm.zip
bolthersdf34201-master.zip
deposito.identificado.htm.zip
dados unidas rent a car.htm.zip
nota_fiscal.484.582.85.zip
decisao_judicial.htm.zip
seguradora_tokio.htm.zip
cheque.htm.zip
Estos .ZIP contienen un archivo .LNK (extensión para archivos de acceso directo utilizado por Microsoft Windows para apuntar a un archivo ejecutable o una aplicación). Cuando un usuario abre el archivo malicioso LNK, esté compromete la herramienta de la línea de Windows Management Instrumentation Command y discretamente descarga un archivo XSL (Extensible Stylesheet Language) malicioso, el cual se encarga de descargar todos los módulos de Guildma y ejecuta un cargador de primera etapa que incluye todos los otros módulos de malware (utilizados para atacar posteriormente).
En esta instancia, el malware se activa y se encuentra preparado para recibir órdenes desde un servidor de comando y control (C2), por medio de interacciones específicas del usuario, como abrir un sitio web de uno de los servicios blanco de ataque mencionados anteriormente.
El malware aprovecha de la tecnología BITSadmin de los sistemas operativos Windows (un sistema automatizado de administración de archivos que se ejecuta "oculto" al usuario y puede recibir y ejecutar órdenes).
Durante este año se han detectado más de 115.000 intentos de infección con esta pieza de software. Las detecciones comenzaron a aumentar en mayo de 2019, alcanzando un máximo en junio de 2019 y manteniendo ese ritmo.
El vector de ataque además de afectar la seguridad bancaria, Si no detecta ninguna ventana o programa perteneciente a uno de los bancos objetivos, Guildma busca ciertos clientes de correo electrónico de escritorio, entre ellos Gmail, Yahoo, Hotmail y servicios como Netflix, Amazon y Facebook abriendo ventanas del navegador. Cuando Guildma detecta un servicio, es capaz de realizar una serie de acciones, entre ellas robar credenciales de inicio de sesión, contactos, tomar capturas de pantalla, interceptar clics y pulsaciones del teclado, controlar la computadora de forma remota, permitir la descarga de archivos adicionales y ejecutarlos.
La recomendación habitual relacionado al phishing bajo este contexto es la de no abrir correos de remitentes desconocidos y contactar por vías oficiales a los servicios cuando se recibe un correo inusual que pide la descarga de archivos o la ejecución de algún programa sin relación alguna a la computadora del usuario víctima.
REFERENCIA
COMENTARIOS