Guildma malware brasileño desarrolla fuerte campaña de correos maliciosos

24 Noviembre 2020
Alto

Guildma, un actor de amenazas, que forma parte de los principales troyanos bancarios brasileños. Conocido por sus actividades maliciosas escalables tanto en América Latina como en otras partes del mundo ha estado trabajando activamente en campañas de envío de correos maliciosos utilizando varios dominios SMTP comprometidos.

A principios de noviembre mediante un boletín informativo se advirtió sobre la actividad de generación de malware bancario llamado Ghimob que puede permitir a los ciberdelincuentes acceder a los dispositivos móviles de los usuarios  apuntando así a nuevas víctimas.

Guildma

Como se ha explicado anteriormente, Guildma es un troyano bancario latinoamericano que tiene como objetivo principal a entidades brasileñas y ha estado activo desde al menos 2015. Además de afectar a instituciones financieras, Guildma también intenta acceder a credenciales de correos electrónicos, tiendas online y servicios de streaming afectando al menos a diez veces más víctimas que cualquier otro troyano latinoamericano de esta familia analizada hasta el momento. Usa métodos innovadores de ejecución así como técnicas de ataques sofisticadas.

La última creación del actor Guildma, es el troyano conocido como  Ghimob. Este atrae a las víctimas para que instalen el archivo malicioso a través de un correo electrónico que las engaña diciendo que tienen deudas y ofreciéndoles un enlace para informarse. Una vez que se instala el RAT, el malware procede a enviar mensajes de notificación de la infección a su servidor, incluyendo el modelo de teléfono, si este tiene activado el bloqueo de pantalla y una lista de todas las aplicaciones instaladas que el malware tiene como objetivo. En total, Ghimob puede espiar 153 apps móviles, principalmente de bancos, fintechs, apps de inversión y criptomonedas.

Modo de Infección

Este malware se sigue distribuyendo a través de campañas de phishing llevadas a cabo por correo electrónico (pudiendo hacer referencias a facturas, invitaciones, etc.), tratándose de correos personalizados que se dirigían a las víctimas por su nombre. En estos correos se enlazaba un archivo ZIP que contiene el link malicioso.

Guildma, en reciente  campaña atrae a las víctimas para que instalen el archivo malicioso a través de un correo electrónico de siguientes características:

  • Sugiere que la persona que lo recibe tiene algún tipo de deuda.
  • El correo electrónico también incluye un enlace en el que la víctima puede hacer clic para obtener más información.

Panorama

Brasil tiene un sistema criminal clandestino bien establecido y los desarrolladores de malware locales han creado muchos troyanos bancarios a lo largo de los años. Normalmente, este malware se utiliza para dirigirse a clientes de bancos locales. Sin embargo, los ciberdelincuentes brasileños están comenzando a expandir sus ataques y operaciones en el exterior, apuntando a otros países y bancos.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
  • Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
  • Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
  • No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
  • No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Guildma #Malware #Ghimob #Troyano


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.