Mereka mendeteksi malware yang menargetkan bank, email pelanggan, dan Netflix

3 3 minutes read

Mereka mendeteksi malware yang menargetkan bank, email pelanggan, dan Netflix 2

Pada awal tahun ini, 27.000 pengguna menjadi korban Malware Guildma, yang memiliki alat akses jarak jauh (RAT), spyware, serta pencurian kata sandi, selain memiliki kemampuan untuk bertindak seperti trojan bank.

Sebelumnya, Guildma menyerang pengguna dan layanan di Brasil dan hanya menginfeksi komputer yang dioperasikan dalam bahasa Portugis, tetapi malware kini membuntuti 130 bank dan 75 layanan online lainnya, seperti Netflix, Facebook, Amazon dan Google Mail di seluruh dunia, meskipun itu jauh dari komputer yang dioperasikan dalam bahasa Inggris.

Laboratorium Laboratorium Ancaman Avast memantau malware Guildma selama beberapa bulan dan baru-baru ini menerbitkan analisis rinci tentang perilaku mereka.

Email phishing terpilih yang menyebabkan infeksi

Guildma menyebar melalui email phishing ke target tertentu, baik berupa faktur, laporan pajak, undangan, dan pesan serupa. Email dipersonalisasi dan ditujukan kepada korban Anda dengan nama. Dipercaya bahwa penjahat cyber di balik malware memperoleh alamat email dan informasi nama melalui kebocoran data yang tersedia di darknet atau menggunakan data yang dicuri dari pengguna yang sebelumnya terinfeksi, untuk menyerang orang lain.

File ZIP terlampir pada email, yang berisi LNK berbahaya, dikirim melalui situs web yang terinfeksi, disewa atau dibeli. Ketika pengguna membuka file LNK berbahaya, itu melanggar alat online. Windows Perintah Instrumentasi Manajemen dan unduh secara hati-hati file XSL berbahaya. File XSL ini mengunduh semua modul Guildma dan menjalankan pemuat tahap pertama yang mencakup semua modul malware lainnya. Pada saat itu, malware mengaktifkan dan menunggu perintah dari server perintah dan mengontrol interaksi spesifik pengguna, seperti membuka situs web salah satu layanan serangan target.

Guildma juga perlahan menginfiltrasi melalui komputer yang terinfeksi untuk menemukan file yang terkait dengan aplikasi perbankan, windows milik aplikasi tersebut dan bahkan ke windows browser dengan situs perbankan digital terbuka. Di Argentina kita dapat memiliki contoh-contoh: Banco Santader, Banco Provincia, Banco Patagonia, antara lain. Layanan email juga digunakan di Meksiko dan Argentina seperti live, outlook, yahoo, google, dan jejaring sosial seperti Facebook, Twitter, Instagram dan Netflix, dan bahkan layanan pembayaran seperti PayPal dan situs e-commere di aliexpress, ebay, dan amazon.

Jika Anda tidak mendeteksi jendela atau program apa pun yang termasuk salah satu bank dalam daftar ini, Guildma mencari email dari klien layanan di desktop seperti Netflix, Amazon dan Facebook buka di jendela browser. Ketika Guildma mendeteksi suatu layanan dari daftar, itu dapat melanjutkan dengan serangkaian tindakan, termasuk mencuri kredensial akses, screenshot, memotong klik mouse dan keyboard atau mengasumsikan remote control komputer untuk memanipulasi file Selain itu, Guildma dapat mengunduh lebih banyak file dan menjalankannya.

Guildma adalah malware yang sangat kompleks dan modular yang mendukung berbagai fungsi dan sedang mengalami perkembangan pesat, memperluas jangkauan targetnya, mulai dari bank di Brasil, hingga bank yang digunakan di negara lain di Amerika Latin, kata Adolf Streda, Peneliti Malware Avast.

Mendeteksi Guildma

Jika suatu perangkat terinfeksi dengan Guildma, pengguna mungkin mengalami koneksi jaringan yang lemah, karena tangkapan layar dikirim melalui Internet, saluran diambil, atau komputer mengirim respons terlambat. Guildma dapat mencegah beberapa pintasan keyboard bekerja dan bahkan memutuskan akun aktif dan menutup jendela browser untuk memaksa pengguna memasukkan kembali akun mereka, sehingga dapat mencuri informasi login mereka.

Melindungi pengguna Guildma

Perangkat lunak antivirus, seperti Avast Free Antivirus, dapat mendeteksi malware seperti Guildma. Selain itu, pengguna harus menghindari membuka lampiran atau tautan yang termasuk dalam email yang tampaknya berasal dari perusahaan ritel atau bank. Mereka juga harus memverifikasi pengirim yang seharusnya dan bertanya apakah email yang diterima benar-benar dikirim oleh mereka.

Analisis lengkap tentang Guildma dapat ditemukan di Avast Decoded Blog.

Beberapa contoh target yang dipilih oleh Guildma:

Bank

Argentina:

bancodecomercio.com (.) ar

provinsi bank

santanderrio.com (.) ar

bancogalicia (.) com

bbvafrances.com (.) ar

macro.com (.) ar

hsbc.com (.) ar
BancoCredicoop (.) Coop

bancopatagonia (.) com

privatebank.citibank (.) com

hipotecario.com (.) ar

bancor.com (.) ar

supervielle.com (.) ar

bancoantafe.com (.) ar

bancoanjuan (.) com

itau.com (.) ar

comafi.com (.) ar

bancodelapampa.com (.) ar

bse.com (.) ar

bancoentrerios.com (.) ar

bancochubut.com (.) ar

bancotucuman.com (.) ar

bancodecorrientes.com (.) ar

nbch.com (.) ar

bice.com (.) ar

bpn.com (.) ar

bancoformosa.com (.) ar

bancocolumbia.com (.) ar

bancopiano.com (.) ar

bancoantacruz (.) com

bancocmf.com (.) ar

mariva.com (.) ar

bst.com (.) ar

bancoaenz.com (.) ar

Bancobic (.) Ao

redlink.com (.) ar

Name	Domain	Purpose	Expiry	Type
wpl_user_preference	apsachieveonline.org	WP GDPR Cookie Consent Preferences	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
AWSALB	api.intentiq.com	Amazon Web Services Load Balancer cookie.	7 days	HTTP

Name	Domain	Purpose	Expiry	Type
VISITOR_INFO1_LIVE	youtube.com	YouTube cookie.	Session	HTTP
GPS	youtube.com	Google advertising domain	Session	HTTP

Name	Domain	Purpose	Expiry	Type
uid	tynt.com	Generic AddThis tracking cookie.	1 year	HTTP
bkdc	bluekai.com	BlueKai tracking cookie.	Session	HTTP
bku	bluekai.com	BlueKai tracking cookie.	Session	HTTP
IDE	doubleclick.net	Google advertising cookie used for user tracking and ad targeting purposes.	1 day	HTTP
_cc_dc	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_id	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_cc	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_aud	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
vuid	vimeo.com	Vimeo tracking cookie	2 years	HTTP

Name	Domain	Purpose	Expiry	Type
CountUid	histats.com	---	1 year	---
HstCfa4342789	apsachieveonline.org	---	1 year	---
HstCmu4342789	apsachieveonline.org	---	1 year	---
HstCnv4342789	apsachieveonline.org	---	1 year	---
HstCns4342789	apsachieveonline.org	---	1 year	---
m	dtscout.com	---	Session	---
df	dtscout.com	---	3 months	---
l	dtscout.com	---	3 months	---
__stid	sharethis.com	---	1 year	---
__dtsu	apsachieveonline.org	---	3 months	---
33x_ps	33across.com	---	1 year	---
__cfduid	apsachieveonline.org	Generic CloudFlare functional cookie.	1 year	HTTP
HstCla4342789	apsachieveonline.org	---	1 year	---
HstPn4342789	apsachieveonline.org	---	1 year	---
HstPt4342789	apsachieveonline.org	---	1 year	---
b	dtscout.com	---	Session	---
st	dtscout.com	---	Session	---
pxcelPage_c010_C	t.sharethis.com	---	14 days	---
pids	tynt.com	---	3 months	---
pxcelBcnLcy	t.sharethis.com	---	51 years	---
ab	agkn.com	---	1 year	---
IQver	intentiq.com	---	2 years	---
intentIQ	intentiq.com	---	2 years	---
intentIQCDate	intentiq.com	---	2 years	---
AWSALBCORS	api.intentiq.com	---	7 days	---
bkpa	bluekai.com	---	6 months	---

Pos terkait

Aiwa Memasuki Kembali Pasar India dengan Rangkaian TV Cerdas Android dan Produk Audio; Bertujuan untuk Menjual 200.000 Unit Per Tahun

WhatsApp e Instagram mereka akan menerima nama Facebook

Xiaomi Mi Mix 4 akan memiliki 108 MP dan Snapdragon 855 Plus, binatang buas sejati!

Ponsel Mate X lipat Huawei masih belum siap untuk peluncuran komersial