Avast desde principios de 2019, informa que cerca de 27.000 usuarios han sido víctimas del malware Guildma, que posee una herramienta de acceso remoto (RAT), spyware, así como de robo de contraseñas, además de tener la capacidad de actuar como los troyanos bancarios.
Anteriormente, Guildma atacó a usuarios y servicios en Brasil e infectó solamente a computadoras operadas en portugués, pero el malware está ahora acechando a 130 bancos y otros 75 servicios en línea, como Netflix, Facebook, Amazon y Google Mail en todo el mundo, aunque se ha mantenido alejado de las computadoras operadas en inglés. El Laboratorio de Amenazas de Avast (Avast Threat Labs) ha estado monitoreando al malware Guildma por varios meses y recientemente publicaron un análisis detallado de su comportamiento.
Guildma se esparce a través de correos electrónicos de phishing a blancos específicos, ya sea que tome la forma de facturas, reportes de impuestos, invitaciones y mensajes similares. Los correos son personalizados y se dirigen a sus víctimas por su nombre. En los correos se adjunta un archivo ZIP, el cual contiene un LNK malicioso, enviado a través de sitios web infectados, alquilados o comprados. Cuando un usuario abre el archivo malicioso LNK, este infringe la herramienta de la línea de Windows Management Instrumentation Command y discretamente descarga un archivo XSL malicioso. Este archivo XSL descarga todos los módulos de Guildma y ejecuta un cargador de primera etapa que incluye todos los otros módulos de malware. En ese momento, el malware se activa y aguarda las órdenes de un servidor de comando y control de interacciones específicas del usuario, como abrir un sitio web de uno de los servicios blanco de ataque.
Guildma también se infiltra lentamente a través de computadoras infectadas para encontrar archivos relacionados con aplicaciones bancarias, ventanas que pertenezcan a esas aplicaciones e incluso a ventanas de navegadores con sitios de banca digital abiertos. En Argentina podemos tener los ejemplos de: Banco Santader, Banco Provincia, Banco Patagonia, entre otros. Los servicios de email también utilizados en México y Argentina como live, outlook, yahoo, google, y redes sociales como Facebook, Twitter, Instagram y Netflix, e incluso servicios de pago como PayPal y sitios de e-commere aliexpress, ebay y amazon.
Si no detecta ninguna ventana o programa que pertenezca a alguno de los bancos de esta lista, Guildma busca en los escritorios, los correos electrónicos de clientes de servicios como Netflix, Amazon y Facebook abiertos en ventanas de navegadores. Cuando Guildma detecta un servicio de su lista, es capaz de proceder con una serie de acciones, incluido el robo de credenciales de acceso, capturas de pantalla, intercepción de los clicks del mouse y del teclado o asume el control remoto de la computadora para manipular archivos. Además, puede descargar más archivos y ejecutarlos.
“Guildma es un malware muy complejo y modular que da soporte a diversas funcionalidades y está experimentando un rápido desarrollo, expandiendo el rango de sus blancos, que van desde los bancos de Brasil, hasta bancos utilizados en otros países de Latinoamérica”, dijo Adolf Streda, Investigador de malware de Avast.
Si un dispositivo es infectado con Guildma, los usuarios pueden experimentar una débil conexión de red, debido a que se envían capturas de pantalla a través de la Internet, se acapara la línea, o la computadora envía respuestas con retraso. Puede impedir que algunos accesos directos del teclado funcionen e incluso desconectar las cuentas activas y cerrar ventanas del navegador con el fin de forzar a los usuarios a entrar nuevamente a sus cuentas, para así robarles su información de ingreso.
Protegiendo a los usuarios de Guildma, los softwares antivirus, como el Avast Free Antivirus, pueden detectar malwares como Guildma. Adicionalmente, los usuarios deben evitar abrir archivos adjuntos o enlaces incluidos en correos electrónicos que parecen provenir de compañías de retail o de bancos. También se deben verificar a los supuestos remitentes y preguntarles si los correos recibidos efectivamente fueron enviados por ellos.