Guildma, un nuevo malware brasileño dirigido a la banca latinoamericana y otros servicios


En los últimos días se dio a conocer de un nuevo caso de malware orientado a comprometer la seguridad bancaria así como también a varios servicios populares a nivel mundial. Según los expertos involucrados en la investigación se trata de una herramienta de acceso remoto (RAT), spyware, así como de robo de contraseñas, y que además actúa como troyano bancario.

A esta compleja pieza de malware multifuncional se le conoce como Guildma, y se estima que es una reimplementación o que pertenece a la familia del malware Astaroth. Este software malicioso de origen brasileño, en primera instancia atacó a usuarios y servicios de Brasil, ahora el malware está acechando a 130 bancos y otros 75 servicios en línea de gran renombre, como Netflix, Facebook, Amazon y Google en todo el mundo, alejado un poco de los países de habla inglesa, entre los nuevos países afectados se encuentra Argentina. A continuación el mapa de ataque con mayor parte de víctimas en Brasil.


Esta amenaza se propaga a través de correos electrónicos de phishing dirigidos que se hacen pasar por facturas, informes fiscales, invitaciones, entre otros. Como es costumbre, los correos electrónicos están personalizados en el sentido de que se dirigen a sus víctimas por su nombre. Aquí algunos ejemplos de los archivos adjunto en los correos maliciosos.

anexo pedido.htm.zip
curriculo.htm.zip
curriculum_.htm.zip
bolthersdf34201-master.zip
deposito.identificado.htm.zip
dados unidas rent a car.htm.zip
nota_fiscal.484.582.85.zip
decisao_judicial.htm.zip
seguradora_tokio.htm.zip
cheque.htm.zip

Estos .ZIP contienen un archivo .LNK (extensión para archivos de acceso directo utilizado por Microsoft Windows para apuntar a un archivo ejecutable o una aplicación). Cuando un usuario abre el archivo malicioso LNK, esté compromete la herramienta de la línea de Windows Management Instrumentation Command y discretamente descarga un archivo XSL (Extensible Stylesheet Language) malicioso, el cual se encarga de descargar todos los módulos de Guildma y ejecuta un cargador de primera etapa que incluye todos los otros módulos de malware (utilizados para atacar posteriormente).

En esta instancia, el malware se activa y se encuentra preparado para recibir órdenes desde un servidor de comando y control (C2), por medio de interacciones específicas del usuario, como abrir un sitio web de uno de los servicios blanco de ataque mencionados anteriormente.

El malware aprovecha de la tecnología BITSadmin de los sistemas operativos Windows (un sistema automatizado de administración de archivos que se ejecuta "oculto" al usuario y puede recibir y ejecutar órdenes).

Durante este año se han detectado más de 115.000 intentos de infección con esta pieza de software. Las detecciones comenzaron a aumentar en mayo de 2019, alcanzando un máximo en junio de 2019 y manteniendo ese ritmo.

El vector de ataque además de afectar la seguridad bancaria, Si no detecta ninguna ventana o programa perteneciente a uno de los bancos objetivos, Guildma busca ciertos clientes de correo electrónico de escritorio, entre ellos Gmail, Yahoo, Hotmail y servicios como Netflix, Amazon y Facebook abriendo ventanas del navegador. Cuando Guildma detecta un servicio, es capaz de realizar una serie de acciones, entre ellas robar credenciales de inicio de sesión, contactos, tomar capturas de pantalla, interceptar clics y pulsaciones del teclado, controlar la computadora de forma remota, permitir la descarga de archivos adicionales y ejecutarlos.

La recomendación habitual relacionado al phishing bajo este contexto es la de no abrir correos de remitentes desconocidos y contactar por vías oficiales a los servicios cuando se recibe un correo inusual que pide la descarga de archivos o la ejecución de algún programa sin relación alguna a la computadora del usuario víctima. 


REFERENCIA

COMENTARIOS

Nombre

Adobe,1,Adware,3,android,24,Antivirus,3,Apple,13,Apps,10,Arkavia Networks,13,Ataques,4,Backdoor,3,Bancos,6,Bases de Datos,1,Botnet,1,Botnet. Malware,1,Check Point,2,Cibercrimen,104,ciberseguridad,69,Cisco,1,Cloud,1,CMS,1,CPU,3,Criptomonedas,3,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,6,Deep Web,5,Ecommerce,1,Empresas,108,Eventos,4,Exploits,5,F5 Networks,1,Facebook,6,Firmware,1,google,24,Hacking,78,Hardware,7,Hosting,2,Industria,10,Instagram,2,Intel,2,Internacional,40,Internet,32,Investigacion,7,ios,3,IoT,3,ISO,1,Linux,4,Malware,24,Malwares,32,Microsoft,20,Nacional,10,Negocios,2,Oracle,1,OS,8,Payload,2,phishing,9,Protocolos,11,Ransomware,7,Recomendaciones,14,Redes,27,redes sociales,12,Rootkit,1,RRSS,1,Salud,2,Servicios,5,Smartphones,27,Software,23,Spyware,10,updates,21,Vulnerabilidades,59,Web,5,WhatsApp,2,wifi,2,Windows,8,
ltr
item
Arkavia Networks News: Guildma, un nuevo malware brasileño dirigido a la banca latinoamericana y otros servicios
Guildma, un nuevo malware brasileño dirigido a la banca latinoamericana y otros servicios
https://1.bp.blogspot.com/-nqLPSnuVXAg/XUB-pLfXfhI/AAAAAAAABlU/sVgKwsezJukaLHnaG1VFqvKQuYNj80mpwCLcBGAs/s640/Guildma.jpg
https://1.bp.blogspot.com/-nqLPSnuVXAg/XUB-pLfXfhI/AAAAAAAABlU/sVgKwsezJukaLHnaG1VFqvKQuYNj80mpwCLcBGAs/s72-c/Guildma.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/07/guildma-un-nuevo-malware-brasileno.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/07/guildma-un-nuevo-malware-brasileno.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy