banner edicion impresa

Sabias Que En Escena


Guildma, el malware que acecha a 130 bancos


Publicación:02-08-2019
++--

Avast ha estado monitoreando al malware por varios meses y recientemente publicaron un análisis detallado de su comportamiento

Desde principios de 2019, cerca de 27.000 usuarios han sido víctimas del malware Guildma, que posee una herramienta de acceso remoto (RAT), spyware, así como de robo de contraseñas, además de tener la capacidad de actuar como los troyanos bancarios. Anteriormente, Guildma atacó a usuarios y servicios en Brasil e infectó solamente a computadoras operadas en portugués, pero el malware está ahora acechando a 130 bancos y otros 75 servicios en línea, como Netflix, Facebook, Amazon y Google Mail en todo el mundo, aunque se ha mantenido alejado de las computadoras operadas en inglés.

Avast ha estado monitoreando al malware por varios meses y recientemente publicaron un análisis detallado de su comportamiento. Se esparce a través de correos electrónicos de phishing a blancos específicos, ya sea que tome la forma de facturas, reportes de impuestos, invitaciones y mensajes similares. Los correos son personalizados y se dirigen a sus víctimas por su nombre. Se cree que los cibercriminales que están detrás del malware obtienen la información de dirección de correo y nombre a través de filtraciones de datos disponibles en la darknet o usan datos robados de usuarios previamente infectados, con el objeto de atacar a otros.

En los correos se adjunta un archivo ZIP, el cual contiene un link malicioso, enviado a través de sitios web infectados, alquilados o comprados. Cuando un usuario abre el archivo malicioso, este infringe la herramienta de la línea de Windows Management Instrumentation Command y discretamente descarga un archivo XSL malicioso. Este archivo XSL descarga todos los módulos de Guildma y ejecuta un cargador de primera etapa que incluye todos los otros módulos de malware. En ese momento, el malware se activa y aguarda las órdenes de un servidor de comando y control de interacciones específicas del usuario, como abrir un sitio web de uno de los servicios blanco de ataque.



« Especial »