Тие откриле малициозен софтвер што ги таргетирал банките, е-поштата на клиентите и Нетфликс

Mereka mendeteksi malware yang menargetkan bank, email pelanggan, dan Netflix 1

Тие откриле малициозен софтвер што ги таргетирал банките, е-поштата на клиентите и Нетфликс 2

На почетокот на оваа година, жртви беа 27.000 корисници Гилдма малициозен софтвер, кој има алатки за далечински пристап (RAT), шпионски софтвер и кражба на лозинка, покрај тоа што има можност да дејствува како тројански банка.

Претходно, Гилдма ги нападна корисниците и услугите во Бразил и само заразените компјутери работеа на португалски јазик, но малициозен софтвер сега трагаше по 130 банки и 75 други онлајн услуги, како што се „Нетфликс“, „Фејсбук“, „Амазон“ и „Гугл мејл“ ширум светот, иако беше далеку од компјутерите што беа опериран на англиски јазик.

Лабораторијата Avast Threat Laboratories веќе неколку месеци го следи малициозен софтвер Гилдма и неодамна објави детална анализа за нивното однесување.

Избрани е-пошта за фишинг што предизвикуваат инфекции

Гилдма се шири преку е-пошта со фишинг до специфични цели, без разлика дали е во форма на фактури, даночни извештаи, покани и слични пораки. Е-поштата е персонализирана и адресирана до вашата жртва по име. Се верува дека сајбер криминалот кој стои зад малициозен софтвер добива на адреси за е-пошта и информации за името преку протекување на податоци што се достапни на darknet или со користење на податоци украдени од корисници кои претходно биле заразени, за да ги нападне другите.

Датотеката ZIP прикачена на е-поштата, која содржи опасни LNK, се испраќа преку заразени, изнајмени или купени веб-страници. Кога корисникот отвора опасна датотека LNK, тој ја нарушува онлајн алатката. Команди за инструменти за управување со Windows и внимателно преземање на опасни XSL-датотеки. Оваа датотека XSL ги презема сите модули на Гилдма и го извршува натоварувачот во првата фаза, кој ги вклучува сите други модули на малициозен софтвер. Во тоа време, малициозен софтвер активира и чека команди од командниот сервер и контролира специфични интеракции со корисници, како што е отворање веб-страница за една од целните услуги за напад.

Гилдма, исто така, полека се инфилтрираше преку заразените компјутери за да се отворат датотеки поврзани со банкарски апликации, прозорци кои припаѓаат на апликацијата, па дури и за прелистувачи на Windows со дигитални банкарски страници. Во Аргентина можеме да имаме примери: Банко Сантадер, Банко Провинција, Банко Патагонија, меѓу другите. Услугите за е-пошта исто така се користат во Мексико и Аргентина, како што се живо, изглед, јаху, Google и социјалните мрежи како Фејсбук, Твитер, Инстаграм и Нетфликс, па дури и услуги за плаќање, како што се PayPal и веб-страници за е-трговија на aliexpress, ebay и amazon.

Ако не откриете какви било прозорци или програми што се вклучени во една од банките на оваа листа, Гилдма бара е-пошта од клиенти на услуги на работната површина како што се Netflix, Amazon и Facebook отворена во прозорецот на прелистувачот. Кога Гилдма открие услуга од списокот, може да продолжи со низа активности, вклучително и крадење на ингеренциите за пристап, слики од екранот, сечење кликне на глувчето и тастатурата или да претпостави далечински управувач на компјутерот за да манипулира со датотеки.Понатаму, Гилдма може да преземе повеќе датотеки и да ги работи.

Гилдма е многу комплексен и модуларен малвер што поддржува различни функции и се подложува на брз развој, проширувајќи го својот целен опсег, од банки во Бразил, до банки користени во други земји во Латинска Америка, рече Адолф Стреда, истражувач од „Аваст малициозен софтвер“.

Откривање на Гилдма

Ако уредот е заразен со Гилдма, корисникот може да доживее слаба мрежна врска, бидејќи слики од екранот се испраќаат преку Интернет, се преземаат канали или компјутерот испраќа доцна одговор. Гилдма може да спречи да работат некои кратенки на тастатурата, па дури и да ја исклучат активната сметка и да го затворат прозорецот на прелистувачот за да ги принудат корисниците повторно да влезат во својата сметка, за да можат да ги украдат своите информации за најава.

Заштитете ги корисниците на Гилда

Антивирусен софтвер, како што е Avast Free Antivirus, може да открие малициозен софтвер, како што е Guildma. Покрај тоа, корисниците треба да избегнуваат отворање прилози или линкови вклучени во е-пошта што се чини дека доаѓаат од малопродажни компании или банки. Тие исто така треба да проверат дали испраќачот треба да биде и да праша дали е добиената е-пошта е всушност испратена од нив.

Комплетна анализа на Гилдма може да се најде на декодираниот блог на Avast.

Некои примери на цели избрани од Гилдма:

Банка

Аргентина:

bancodecomercio.com (.) ar

банка провинција

santanderrio.com (.) ar

банкогалија (.) com

bbvafrances.com (.) ar

макро.com (.) ar

hsbc.com (.) ar
BancoCredicoop (.) Соработка

банкопагагонија (.) com

privatebank.citibank (.) com

hypothecario.com (.) ar

bancor.com (.) ar

supervielle.com (.) ar

bancoantafe.com (.) ar

банкоанџан (.) com

itau.com (.) ar

comafi.com (.) ar

bancodelapampa.com (.) ar

bse.com (.) ar

bancoentrerios.com (.) ar

bancochubut.com (.) ar

bancotucuman.com (.) ar

bancodecorrientes.com (.) ar

nbch.com (.) ar

bice.com (.) ar

bpn.com (.) ar

bancoformosa.com (.) ar

bancocolumbia.com (.) ar

bancopiano.com (.) ar

bancoantacruz (.) com

bancocmf.com (.) ar

mariva.com (.) ar

bst.com (.) ar

bancoaenz.com (.) ar

Банкобик (.) Ао

redlink.com (.) ar