A Avast desde o início deste ano protegeu cerca de 27.000 usuários contra o Guildma – um malware que inclui uma ferramenta de acesso remoto (RAT), spyware, além de capacidades de roubo de senhas e trojans bancários. Anteriormente, Guildma segmentava usuários e serviços no Brasil, infectando apenas computadores rodando em português. Mas, agora, o malware passa por mais de 130 bancos e 75 outros serviços na internet, como Netflix, Facebook, Amazon e Gmail, no mundo todo. No entanto, ainda evita computadores operando em inglês. O Laboratório de Ameaças da Avast acompanha o Guildma há vários meses e, agora, publica uma análise detalhada sobre o malware.
E-mails de phishing direcionados que levam à infecção
O Guildma se espalha por meio de e-mails de phishing direcionados, apresentando-se como faturas, relatórios de impostos, convites ou podem ser semelhantes a mensagens. Os e-mails são personalizados, no sentido de abordar suas vítimas pelo nome. Os cibercriminosos por trás da campanha possivelmente obtêm essas informações, endereço de e-mail e nome, a partir de vazamentos de dados na darknet, ou usam dados roubados de usuários previamente infectados para atingir outras pessoas. Os e-mails contêm um arquivo ZIP anexo com um arquivo LNK malicioso1, enviado por websites infectados, alugados ou comprados. Quando um usuário abre o arquivo LNK mal-intencionado, ele usa uma ferramenta de linha de comando do Windows Management Instrumentation e baixa silenciosamente um arquivo XSL também mal-intencionado. O arquivo XSL faz o download de todos os módulos do Guildma e executa um primeiro estágio, que carrega todos os outros módulos de malware. Em seguida, o malware torna-se ativo e aguarda por comandos de um servidor de comando e controle e / ou interações específicas do usuário, como a abertura de uma página web de um dos serviços alvo.
O Guildma rastreia os computadores infectados para encontrar arquivos relacionados ao aplicativo bancário, janelas que podem pertencer a esses aplicativos e até mesmo janelas do navegador com websites de e-banking abertos, incluindo ainda paypal[.]com, pagseguro.uol[.]com.br e serasaexperian[.]com.br, sitenet.serasa[.]com.br e servicos.spc[.]org.br. Caso não detecte nenhuma janela ou programa pertencente a um dos bancos da sua lista2, o Guildma busca por determinados clientes de e-mail no desktop (como serviços de webmail do mail.live[.]com, outlook.live[.]com, login.live[.]com, email.uol[.]com.br, mail.uol[.]com.br, mail.yahoo[.]com, login.yahoo[.]com, mail.google[.]com, accounts.google[.]com e mail.terra[.]com.br) e serviços como Netflix, Amazon e Facebook abertos nas janelas do navegador. Também estão na mira twitter[.]com e Instagram[.]com. Dentre alguns dos websites de compras online no alvo dos cibercriminosos, há também: aliexpress[.]com, amazon[.]com, ebay[.]com, ricardoeletro[.]com, walmart[.]com, magazineluiza[.]com, americanas[.]com.br, passarela[.]com.br, shoptime[.]com.br, groupon[.]com.br, boticario[.]com.br, pontofrio[.]com.br, centauro[.]com.br, peixeurbano[.]com.br, lojasrenner[.]com.br, comprafacil[.]com.br, avon[.]com.br, decolar[.]com, colombo[.]com.br, mercadolivre[.]com, extra[.]com.br, ultrafarma[.]com.br, kabum[.]com.br, netshoes[.]com.br, buscape[.]com.br, chillibeans[.]com.br, casasbahia[.]com.br, dafiti[.]com.br e submarino[.]com.br. Há ainda companhias aéreas: voeazul[.]com.br, voegol[.]com.br e tam[.]com.br.
Quando o Guildma detecta um dos serviços da sua lista, ele é capaz de realizar várias ações, incluindo o roubo de credenciais e contatos de login, captura de tela, interceptação de cliques do mouse e do teclado, controle remoto do computador, meios de pressionar teclas, clicar com o mouse e manipular arquivos. Além disso, o Guildma pode baixar mais arquivos e executá-los.
"O Guildma é um malware altamente modular e complexo que suporta uma ampla gama de funcionalidades e está atualmente em rápido desenvolvimento, expandindo a gama de bancos-alvo do Brasil para bancos utilizados em outros países da América Latina", disse Adolf Streda, pesquisador de malware da Avast.
Detectando o Guildma
Se um dispositivo estiver infectado pelo Guildma, os usuários poderão notar uma conexão de rede ruim devido às capturas de telas enviadas através da rede, invasão de linha ou por meio de respostas do computador com atraso. O Guildma também pode impedir que certos atalhos de teclado funcionem e pode até mesmo desconectar usuários ou fechar janelas de navegação, para forçar as pessoas a fazerem o login em suas contas novamente para roubar suas credenciais.