Étude des menaces

Malwares visant des banques, Netflix et autres : Avast protége ses utilisateurs

Avast, 24 juillet 2019

Avast a protégé près de 27 000 utilisateurs depuis le début de l'année contre plus de 155 000 tentatives d'infection par le malware Guildma.

Depuis le début de l'année, Avast a protégé près de 27 000 utilisateurs contre Guildma, un programme malveillant qui a attaqué 130 banques ainsi que 75 autres services Web, tels que Netflix, Facebook, Amazon et Google Mail, partout dans le monde.

Le laboratoire des menaces d'Avast a suivi Guildma pendant plusieurs mois et vient de publier une analyse détaillée du malware.

Guildma comprend un outil d'accès à distance nommé RAT (Remote Access Tool), un logiciel espion, ainsi que des capacités de vol de mot de passe et de cheval de Troie bancaire. Guildma avait auparavant ciblé des utilisateurs et des services brésiliens, et n'avait infecté que des ordinateurs fonctionnant en portugais, mais il s'est étendu à d'autres langues. Il n'a pas encore infecté d'ordinateurs fonctionnant en anglais.

Guildma se propage via des e-mails de phishing ciblé, sous forme de fausses factures, de déclarations fiscales, d'invitations ou de messages similaires. Les e-mails sont personnalisés dans le sens où ils s’adressent à leurs victimes par leur nom.

Guildma navigue dans les ordinateurs infectés pour rechercher des fichiers liés aux applications bancaires, des fenêtres pouvant appartenir à ces applications et même des fenêtres de navigateur comportant des sites de banque en ligne ouverts. S'il ne détecte aucune fenêtre ou aucun programme appartenant à l'une des banques de sa liste, Guildma recherche certains clients de messagerie de bureau et des services tels que Netflix, Amazon et Facebook ouverts dans des fenêtres de navigateur. Lorsque Guildma détecte un service dans sa liste, il peut effectuer un certain nombre d'actions, notamment voler des identifiants de connexion et des contacts, faire des captures d'écran, intercepter des clics de souris et de clavier, contrôler à distance l'ordinateur, comme appuyer sur les touches, cliquer avec la souris et manipuler des fichiers. De plus, Guildma peut télécharger des fichiers supplémentaires et les exécuter.

« Guildma est un malware hautement modulaire et complexe, prenant en charge un large éventail de fonctionnalités. Il fait actuellement l'objet d'un développement rapide, élargissant la gamme de banques ciblées du Brésil aux banques utilisées dans d'autres pays d'Amérique latine », déclare Adolf Streda, chercheur en logiciels malveillants chez Avast.

Détecter Guildma

Si un appareil est infecté par Guildma, les utilisateurs peuvent remarquer une mauvaise connexion au réseau due à l'envoi de captures d'écran sur le réseau, un blocage de la ligne ou des réactions décalées de l'ordinateur. Guildma peut également empêcher certains raccourcis clavier de fonctionner et peut même déconnecter les utilisateurs de leur compte ou fermer des fenêtres de navigation afin de les obliger à se reconnecter à leur compte et voler leurs identifiants.

Se protéger contre Guildma

Un logiciel antivirus, tel que l'antivirus gratuit d'Avast peut détecter les programmes malveillants comme Guildma. Les utilisateurs doivent en outre éviter d'ouvrir les pièces jointes ou les liens inclus dans les emails semblant provenir de sociétés de distribution ou de banques, et vérifier d'abord auprès des expéditeurs supposés que l'email provient bien d'eux.

Une analyse complète de Guildma est disponible sur le blog Decoded d'Avast.