Анализ угроз

Guildma — вирус, распространяющийся по почте. Его цель — онлайн-банки

Avast, 14 августа 2019

С начала года Avast защитил около 27 000 пользователей от более чем 155 000 попыток заражения, предпринятых вирусом Guildma.

Мишенями этой вредоносной программы стали 130 банков и 75 других веб-сервисов по всему миру, включая Netflix, Facebook, Amazon и Gmail.

После многомесячного наблюдения за деятельностью Guildma лаборатория анализа угроз Avast опубликовала ее подробный анализ.

Guildma содержит инструмент удаленного контроля (RAT) и шпионское ПО, а также обладает функциями банковских троянов и возможностью похищения паролей. В прошлом мишенями Guildma становились пользователи и сервисы, расположенные в Бразилии — заражению подвергались только компьютеры, использующие португальский язык. Сейчас программа научилась работать и с другими языками. При этом она по-прежнему избегает атак на компьютеры, использующие английский язык.

Guildma распространяется при помощи фишинговых рассылок по электронной почте. Письма персонализированы — к жертве обращаются по имени. Вредоносный файл маскируется под приложенные к письму счета, налоговые отчеты, приглашения и т.п.

Guildma сканирует зараженные компьютеры, пытаясь найти файлы или вкладки банковских сервисов или же браузеры с открытым онлайн-банком. Если вредоносная программа не находит окон или приложений банков из своего списка, Guildma приступает к поиску клиентов электронной почты для ПК и открытых в браузере сайтов вроде Netflix, Amazon, Facebook.

Обнаружив сервис из своего списка, Guildma может выполнить несколько действий, включая кражу учетных данных и контактов, создание снимков экрана, перехват нажатий мышью и клавиш на клавиатуре, получение удаленного контроля над компьютером. Более того, Guildma может скачивать новые файлы и запускать их.

«Guildma — это сложная многомодульная вредоносная программа с большими возможностями. Она быстро распространяется и расширяет диапазон атакуемых банков, переходя от бразильских организаций к банкам в других латиноамериканских странах», — говорит Адольф Стреда (Adolf Streda), исследователь вредоносных программ в компании Avast.

Обнаружение Guildma

На зараженном Guildma устройстве можно заметить снижение скорости интернет-соединения (это вызвано отправкой снимков экрана) или снижение производительности компьютера.

Кроме того, Guildma может мешать работе некоторых сочетаний клавиш. Также вирус может выходить из учетных записей пользователей или закрывать окна браузеров, чтобы заставить жертв ввести свои учетные данные еще раз и похитить их.

Защита от Guildma

Для защиты от вредоносных программ, подобных Guildma, необходимо установить антивирусное программное обеспечение, например, бесплатный Avast Free Antivirus, который получил награду «Продукт года» от независимой тестовой лаборатории AV-Comparatives.

Кроме того, мы рекомендуем не открывать вложения и не переходить по ссылкам, которые содержатся в письмах неизвестных отправителей. А в случае с письмами из банков и прочих крупных компаний, необходимо удостовериться, что отправитель является именно тем, за кого себя выдает.

Полный анализ программы Guildma можно найти в блоге Decoded Avast.

Следите за нашими страницами в социальных сетях ВКонтактеОдноклассникиFacebook и Twitter, чтобы быть в курсе последних новостей из области информационной безопасности и приватности данных.