10 Ago 2019

Guildma un poderoso malwere que ya esta entre nosotros . Como protegerse.

Alertan por una falla que afecta a todos los bancos: qué pasó y cómo protegerte
Se dio a conocer un nuevo malware que ataca a cuentas de redes sociales y a cuentas bancarias. Viene de Brasil y ya llegó a la Argentina. Cómo funciona y cómo podés protegerte.
En los últimos días se dio a conocer un nuevo caso de malware orientado a comprometer la seguridad bancaria de sus víctimas.
Según pudieron recoger los expertos involucrados en la investigación se trata de una herramienta de acceso remoto (RAT), spyware, así como de robo de contraseñas, además de tener la capacidad de actuar como los troyanos bancarios.
A esta compleja pieza de malware multifuncional se la conoce como Guildma (que a su vez se cree que es una re-implementación de otro malware llamado Astaroth). Fue descubierto por la firma Avast el cual ya bloqueo más de 155.000 intentos de infección.
Fue confirmado que el software malicioso es de origen brasilero y que atacó a usuarios y servicios en Brasil e infectó solamente a computadoras operadas en portugués, pero el malware está ahora acechando a 130 bancos y otros 75 servicios en línea, como Netflix, Facebook, Amazon y Google Mail en todo el mundo, aunque se ha mantenido alejado de las computadoras operadas en inglés. Entre los nuevos países afectados está Incluida la Argentina.


¿Cuándo llegó a Argentina y a quiénes afecta?
Durante este año se detectaron más de 115.000 intentos de infección con esta pieza de software.
Las detecciones comenzaron a aumentar en mayo de 2019, alcanzando un máximo en junio de 2019 y manteniendo ese ritmo. En mayo los hackers expandieron su grupo de objetivos bancarios y también comenzaron a apuntar a otros 75 servicios web en todo el mundo. Hasta ese entonces, los investigadores lograron, a través de tareas informática forense, detectar que el malware no había salido de Brasil.
En la Argentina, se logró confirmar que el malware está apuntado a varias instituciones bancarias, a servicios de social media y webservices como así también sitios de e-commerce. Entre estos se destacan, según Avast: Banco Santander, Banco Galicia, BBVA Fránces, Macro, HSBC, Hipotecario, Supervielle y el sitio del procesador de pagos RedLink.
En lo que respecta a web service y Redes sociales, el malware informático afecta a Facebook, Twitter, Instagram y a los gestores de correo de Google (Gmail), Yahoo, Hotmail y a las cuentas de Google.
Todos los módulos centrales están escritos en el entorno Borland Delphi y posiblemente basados otras tecnologías RAT de código abierto como Delphi Remote Access PC, AmigoRAT o PureRAT.
El hecho de que estos servicios estén en la «base de datos» del malware significa que al infectar a un usuario, el software buscara detectar y registrar la información que provea el usuario por el uso de estos sitios ya que está programado para detectar sitios como santanderrio.com[.]ar o bancogalicia[.]com.
Sin embargo, según las fuentes consultadas, hasta el momento no se conocen casos de usuarios comprometidos. «Nuestras herramientas de seguridad ya lo tienen catalogado y están en condiciones de detectarlo y frenarlo. Tampoco tenemos evidencias sobre que haya clientes perjudicados por dicho malware», explico una fuente desde RedLink.
«De hecho, hoy día se utilizan esquemas de autenticación multifactor para minimizar el riesgo de pérdidas a un cliente cuyo dispositivo resulte infectado», agregó.
Por su parte, Banco Galicia también reconoció la existencia de malware aunque aclaró que no se vio afectado. Y acotó que también están tomando «todas las medidas necesarias».
¿Cómo funciona el malware?
El primer paso es hacer lo que se conoce como targeted phishing. Se realizan campañas de mails falsos que incentivan a la víctima a realizar alguna acción que desee el cibercriminal.
Los correos son personalizados y se dirigen a sus víctimas por su nombre (de ahí que sean «targeted»). Los cibercriminales usan correos y datos personales que se obtienen de filtraciones previas o se compran en mercados negros de la web.
En los correos se adjunta un archivo ZIP, el cual contiene un archivo LNK malicioso, enviado a través de sitios web infectados o de botnets.

LNK es una extensión para archivos de acceso directo utilizado por Microsoft Windows para apuntar a un archivo ejecutable o una aplicación. Los archivos LNK se utilizan generalmente para crear accesos directos del menú de inicio y del escritorio. Muchos usuarios no muestran desconfianza ya que no se trata del archivo .EXE más comúnmente reconocido como un ejecutable.
Cuando un usuario abre el archivo malicioso LNK, este compromete la herramienta de la línea de Windows Management Instrumentation Command y discretamente descarga un archivo XSL (Extensible Stylesheet Language) malicioso.
Este archivo XSL descarga todos los módulos de Guildma y ejecuta un cargador de primera etapa que incluye todos los otros módulos de malware (todas las funciones, como recopilar contraseñas, leer lo que se escribe en el teclado, etcétera).
En ese momento, el malware se activa y aguarda las órdenes de un servidor de comando y control de interacciones específicas del usuario, como abrir un sitio web de uno de los servicios blanco de ataque. El malware se aprovecha de la tecnología BITSadmin de los sistemas operativos Windows (un sistema automatizable de administración de archivos que se ejecuta «oculto» al usuario y puede recibir y ejecutar ordenes).
Incluso puede detectar sitios web de interés, como un homebanking, cerrar las ventas del navegador web y luego capturar los datos ingresados por el teclado cuando el usuario intenta loggearse de nuevo.
¿Cómo protegerse?
«Si un dispositivo es infectado con Guildma, los usuarios pueden experimentar una débil conexión de red, debido a que se envían capturas de pantalla a través de la Internet, se acapara la línea, o la computadora envía respuestas con retraso», explicó Avast, en un comunicado.
Las recomendaciones son no abrir correos de remitentes desconocidos y contactar por vías oficiales a los servicios cuando se recibe un correo inusual que pide la descarga de archivos o la ejecución de algún programa foráneo a la computadora del usuario.
Un Analisis completo de Guildma puede encontrarse en el Decoded Blog de Avast. Data: infotechnology.
Si fuiste víctima pensas que podrías serlo no dudes en contactarnos, de manera privada, reservada y confidencial trataremos de asistirte.
Nota: Miguel Angel Quevedo, www.cibercrimen.org.ar

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Chandler Catanzaro Authentic Jersey